logstash grok解析用户代理字符串解析某些字段
我在日志文件中有这个UAlogstash grok解析用户代理字符串解析某些字段,logstash,grok,logstash-grok,Logstash,Grok,Logstash Grok,我在日志文件中有这个UA Mozilla/5.0(windowsnt 6.1;WOW64)AppleWebKit/537.36(KHTML,像Gecko)Chrome/41.0.2267.0 Safari/537.36 现在,我真正想要的是像Windows NT 6.1(即win7)和WOW64(即64位系统)这样的东西 我当前的grok筛选器解析所有内容,然后运行删除字段,以丢弃不需要的内容。是否有更简单/更干净的方法?使用解析这些字段 filter { useragent { s
Mozilla/5.0(windowsnt 6.1;WOW64)AppleWebKit/537.36(KHTML,像Gecko)Chrome/41.0.2267.0 Safari/537.36
现在,我真正想要的是像Windows NT 6.1(即win7)和WOW64(即64位系统)这样的东西
我当前的grok筛选器解析所有内容,然后运行删除字段
,以丢弃不需要的内容。是否有更简单/更干净的方法?使用解析这些字段
filter {
useragent {
source => "field-with-useragent"
}
}
虽然它不会提取WOW64字符串,但我怀疑它是否非常有用(我肯定不是所有浏览器都提供它)。也就是说,您可以自己使用条件查找该字符串:
if [field-with-useragent] =~ /\bWOW64\b/ {
mutate {
add_tag => ["64bit"]
}
}
使用来解析这些字段
filter {
useragent {
source => "field-with-useragent"
}
}
虽然它不会提取WOW64字符串,但我怀疑它是否非常有用(我肯定不是所有浏览器都提供它)。也就是说,您可以自己使用条件查找该字符串:
if [field-with-useragent] =~ /\bWOW64\b/ {
mutate {
add_tag => ["64bit"]
}
}