logstash grok解析用户代理字符串解析某些字段_Logstash_Grok_Logstash Grok

logstash grok解析用户代理字符串解析某些字段

logstash

logstash grok解析用户代理字符串解析某些字段,logstash,grok,logstash-grok,Logstash,Grok,Logstash Grok,我在日志文件中有这个UA Mozilla/5.0（windowsnt 6.1；WOW64）AppleWebKit/537.36（KHTML，像Gecko）Chrome/41.0.2267.0 Safari/537.36 现在，我真正想要的是像Windows NT 6.1（即win7）和WOW64（即64位系统）这样的东西我当前的grok筛选器解析所有内容，然后运行删除字段，以丢弃不需要的内容。是否有更简单/更干净的方法？使用解析这些字段 filter { useragent { s

我在日志文件中有这个UA

Mozilla/5.0（windowsnt 6.1；WOW64）AppleWebKit/537.36（KHTML，像Gecko）Chrome/41.0.2267.0 Safari/537.36

现在，我真正想要的是像Windows NT 6.1（即win7）和WOW64（即64位系统）这样的东西

我当前的grok筛选器解析所有内容，然后运行

删除字段

，以丢弃不需要的内容。是否有更简单/更干净的方法？

使用解析这些字段

filter {
  useragent {
    source => "field-with-useragent"
  }
}

虽然它不会提取WOW64字符串，但我怀疑它是否非常有用（我肯定不是所有浏览器都提供它）。也就是说，您可以自己使用条件查找该字符串：

if [field-with-useragent] =~ /\bWOW64\b/ {
  mutate {
    add_tag => ["64bit"]
  }
}

使用来解析这些字段

filter {
  useragent {
    source => "field-with-useragent"
  }
}

虽然它不会提取WOW64字符串，但我怀疑它是否非常有用（我肯定不是所有浏览器都提供它）。也就是说，您可以自己使用条件查找该字符串：

if [field-with-useragent] =~ /\bWOW64\b/ {
  mutate {
    add_tag => ["64bit"]
  }
}