logstash grok筛选器grok解析失败
我有多行自定义日志,通过filebeat multiline关键字将其作为单行处理。现在,这包括每行末尾的\n。但是,这会导致logstsash配置文件中的grok解析失败。有人能帮我吗。以下是它们的样子: 请帮助我使用以下行的grok过滤器: 2016年11月18日上午3:05:50:\n引发的错误为:\n消息 队列\n***************************************************************************************************************************\n请求已发送 is:\nhpi_hho_de,2015423181057,e06106f64e5c40b4b72592196a7a45cd\n*********************************************************************************************************************************************************************************************************************\n收到的答复是:\nQSS RMS Holds Hashtable是 空的\n*************************************************************************logstash grok筛选器grok解析失败,logstash,logstash-grok,Logstash,Logstash Grok,我有多行自定义日志,通过filebeat multiline关键字将其作为单行处理。现在,这包括每行末尾的\n。但是,这会导致logstsash配置文件中的grok解析失败。有人能帮我吗。以下是它们的样子: 请帮助我使用以下行的grok过滤器: 2016年11月18日上午3:05:50:\n引发的错误为:\n消息 队列\n****************************************************************************************
你可以在这里找到答案: 您应该使用Mutate块将所有
“\n””%{DATESTAMP} %{WORD:time} %{GREEDYDATA}
你可以在这里找到答案: 您应该使用Mutate块将所有
“\n””%{DATESTAMP} %{WORD:time} %{GREEDYDATA}
正如@Mohsen建议的那样,您可能必须使用过滤器来替换日志行中的所有新行字符
filter {
mutate {
gsub => [
# replace all forward slashes with underscore
"fieldname", "\n", ""
]
}
}
ifgrokparseif "_grokparsefailure" in [tags] or "_dateparsefailure" in [tags] {
drop { }
}else{
mutate {
gsub => [
# replace all forward slashes with underscore
"fieldname", "\n", ""
]
}
}
希望这有帮助 正如@Mohsen建议的那样,您可能必须使用过滤器来替换日志行中的所有新行字符
filter {
mutate {
gsub => [
# replace all forward slashes with underscore
"fieldname", "\n", ""
]
}
}
ifgrokparseif "_grokparsefailure" in [tags] or "_dateparsefailure" in [tags] {
drop { }
}else{
mutate {
gsub => [
# replace all forward slashes with underscore
"fieldname", "\n", ""
]
}
}
希望这有帮助 如果你可以发布你的日志存储配置?如果你可以发布你的日志存储配置?非常感谢你的快速回复,这很有效!!你能看看这个吗?放在这里有什么意义?您仍然必须处理该错误,否则您将丢失一段数据。非常感谢您的快速响应,这很有效!!你能看看这个吗?放在这里有什么意义?你仍然需要处理这个错误,否则你会丢失一段数据。你能看看这个吗