logstash grok过滤器烦恼_Logstash_Logstash Grok

logstash grok过滤器烦恼

logstash

logstash grok过滤器烦恼,logstash,logstash-grok,Logstash,Logstash Grok,2012年9月27日星期四15:30:27英国夏令时：-无效的令牌$\u POST[自定义]，表示金额、用户ID 这是我试图使用grok for logstash解析的一个日志文件前几个字段是可以的，它似乎非常接近DATESTAMP_OTHER，但我认为英国夏令时的英国时区把它搞乱了到目前为止，但不知道如何使它工作 %{DAY}%{MONTH}%{MONTHDAY}%{TIME}%（[PMCEB][SD]T）%{YEAR}%{greedyddata:message}以下是我解决问题的方法：

2012年9月27日星期四15:30:27英国夏令时：-无效的令牌$\u POST[自定义]，表示金额、用户ID

这是我试图使用grok for logstash解析的一个日志文件

前几个字段是可以的，它似乎非常接近DATESTAMP_OTHER，但我认为英国夏令时的英国时区把它搞乱了

到目前为止，但不知道如何使它工作

%{DAY}%{MONTH}%{MONTHDAY}%{TIME}%（[PMCEB][SD]T）%{YEAR}%{greedyddata:message}

以下是我解决问题的方法：

TZEXPANDED (?:[PMCEB][SD]T) MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZEXPANDED} %{YEAR}

或者，如果您愿意：

MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{(?:[PMCEB][SD]T)} %{YEAR}

在我看来，第一种选择更好，因为您以后可以将该模式用于其他用途

问候语

1）尝试一下，它将允许您当场测试您的Grok模式

2）另外，将您的

%（[PMCEB][SD]T）

更改为类似

（？（BST）*）

的内容，以开始。您对普通正则表达式使用了错误的语法

3） 最重要的阅读。我刚才提到的所有内容都直接来自文档。

天哪，Grok调试器太棒了。救命恩人！