Logstash grok在cookie字符串中拆分值_Logstash_Grok

Logstash grok在cookie字符串中拆分值

logstash

Logstash grok在cookie字符串中拆分值,logstash,grok,Logstash,Grok,要在不同字段中使用grok拆分以下cookie信息案例1 id=279ddd995+用户=演示+国家=GB 输出 { “id”：“279ddd995”， “用户”：“演示”， “国家”：“GB”， }尝试以下grok模式 filter { grok { match => ["message", "id=(?<id>[^;]+);.*?user=(?<user>[^;]+);.*?country=(?<country>[^;]+

要在不同字段中使用grok拆分以下cookie信息

案例1

id=279ddd995+用户=演示+国家=GB

输出

{ “id”：“279ddd995”， “用户”：“演示”， “国家”：“GB”，

}

尝试以下grok模式

filter {
    grok {
         match => ["message", "id=(?<id>[^;]+);.*?user=(?<user>[^;]+);.*?country=(?<country>[^;]+).*?"]
    }
}

过滤器{
格罗克{
匹配=>[“消息”，“id=（？[^；]+）；*？用户=（？[^；]+）；*？国家=（？[^；]+）。？]
}
}

尝试以下grok模式

filter {
    grok {
         match => ["message", "id=(?<id>[^;]+);.*?user=(?<user>[^;]+);.*?country=(?<country>[^;]+).*?"]
    }
}

过滤器{
格罗克{
匹配=>[“消息”，“id=（？[^；]+）；*？用户=（？[^；]+）；*？国家=（？[^；]+）。？]
}
}

您的数据可以方便地以键/值对的形式提供。您可以使用kv{}过滤器将它们分开，而不是为每个字段创建regexp。这样做的另一个好处是可以按任意顺序处理任何键。

您的数据可以方便地以键/值对的形式提供。您可以使用kv{}过滤器将它们分开，而不是为每个字段创建regexp。这样做的另一个好处是可以按任意顺序处理任意键