Logstash 原木格洛克模式_Logstash_Logstash Grok_Logstash Configuration

Logstash 原木格洛克模式

logstash

Logstash 原木格洛克模式,logstash,logstash-grok,logstash-configuration,Logstash,Logstash Grok,Logstash Configuration,为我的所有日志找到正确的grok模式以通过logstash解析所有日志时遇到问题。这是我的日志样本 20180809 17:43:27，user.mystack.com，adam，172.16.1.136610，查询，测试数据库，从表中选择*，'SET autocommit=0'，0 我想要grok模式，它以以下格式解析日志：日期-2018年9月8日17:43:27 域-user.mystack.com 用户-亚当 ClientIP-172.16.1.1 ID-36610 操作-查询数据库名

为我的所有日志找到正确的grok模式以通过logstash解析所有日志时遇到问题。这是我的日志样本

20180809 17:43:27，user.mystack.com，adam，172.16.1.136610，查询，测试数据库，从表中选择*，'SET autocommit=0'，0

我想要grok模式，它以以下格式解析日志：

日期-2018年9月8日17:43:27 域-user.mystack.com 用户-亚当 ClientIP-172.16.1.1 ID-36610 操作-查询数据库名称-测试数据库

查询-从表中选择*，'SET autocommit=0'，0

这将是grok模式：

    grok {
      match => ["message", '%{DATA:Date},%{DATA:Domain},%{DATA:User},%{DATA:ClientIP},%{DATA:ID},%{DATA:Operation},%{DATA:Db_name},%{GREEDYDATA:Query}']
    }

DATA

和

GREEDYDATA

只是可以方便地重用的正则表达式模式。我们可以使用更多的模式，并在此处提供：

此外，使用此应用程序测试您的grok模式：

若要转换日期字段，请在计划对日志和请求进行基于时间的打印时使用日期过滤器。日期过滤器：