Logstash 寻找变结构文件的grok模式
我有一个日志文件,其中并非所有的行都采用相同的格式。如何为这样的文件找到正确的grok模式Logstash 寻找变结构文件的grok模式,logstash,elastic-stack,logstash-grok,Logstash,Elastic Stack,Logstash Grok,我有一个日志文件,其中并非所有的行都采用相同的格式。如何为这样的文件找到正确的grok模式 [15:37:20:030|1] [TdmUtil.c: 1534:fnTDM_LoadLocalFoo] F_LAA : 1 [15:37:20:032|1] [TdmUtil.c: 1281:fnTDM_GetPreDef] pdeGetData : MAX_IRAT_NBR_PER_SERVED_CELL_SYS = 256 [15:37:20:091|1] [TdmUtil.c:
[15:37:20:030|1] [TdmUtil.c: 1534:fnTDM_LoadLocalFoo] F_LAA : 1
[15:37:20:032|1] [TdmUtil.c: 1281:fnTDM_GetPreDef] pdeGetData : MAX_IRAT_NBR_PER_SERVED_CELL_SYS = 256
[15:37:20:091|1] [TdmUtil.c: 293:fnTDM_PrtIndexKey] fnTDM_GetIndexKeyNum Error!!
这样,很少有行的格式为line1,很少有行的格式为line2,依此类推。我可以为每一行写一个grok模式,但我不知道如何组合它们。有什么办法可以解决这个问题吗?我为你准备了一些东西。但在我与您分享之前,我建议您使用在线GROK调试器来编写GROK模式(如果您在Dev Tools->GROK debugger下使用Kibana,则Kibana中有1个)。 你也应该看看这本书 我看到所有3行都有相同的前缀,即
[time | num][class:line number:function name]log text日志文本文本matchif-elseinput {
file {
path => "C:/work/elastic/logstash-6.5.0/config/test.txt"
start_position => "beginning"
codec => multiline {
pattern => "^\[%{TIME}\|"
negate => true
what => "previous"
}
type => "whatever"
}
}
filter {
if [type] == "whatever" {
grok {
break_on_match => false
match => { "message" => "^\[%{TIME:time}\|%{NUMBER:num}\]%{SPACE}\[%{DATA:class}:%{SPACE}%{NUMBER:linenumber:int}:%{DATA:function}\]%{GREEDYDATA:text}$"}
#match => { "text" => ""}
}
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "test"
}
}
您想在一个事件中合并所有这些行,还是想使用grok解析这些行?现在还不清楚。你的日志行有一个共同的结构,你可以制作一个grok过滤器来解析共同的部分,而其他grok过滤器则用于非共同的部分。谢谢你的回复。是否可以使用多个grok筛选器来解析单个日志文件。在同一个grok筛选器中,您可以拥有所需的任意多个grok模式,只需添加另一个
match