Parsing tcpspy测井曲线的GROK模式
我正在尝试为以下类型的tcpspy日志编写一个GROK模式 -Apr 21 12:08:19 ubuntu tcpspy[1243]:断开连接:用户anu,本地 192.168.244.128:53761,远程216.58.210.46:https -Apr 21 12:08:19 ubuntu tcpspy[3400]:断开连接:proc/usr/lib/firefox/firefox,用户anu,本地192.168.244.128:53761, 远程216.58.210.46:https -Apr 21 10:36:21 ubuntu tcpspy[3417]:断开连接:进程(未知),用户anu,本地192.168.244.128:40593,远程198.105.254.11:http 这就是我写的模式:Parsing tcpspy测井曲线的GROK模式,parsing,ubuntu,logging,grok,Parsing,Ubuntu,Logging,Grok,我正在尝试为以下类型的tcpspy日志编写一个GROK模式 -Apr 21 12:08:19 ubuntu tcpspy[1243]:断开连接:用户anu,本地 192.168.244.128:53761,远程216.58.210.46:https -Apr 21 12:08:19 ubuntu tcpspy[3400]:断开连接:proc/usr/lib/firefox/firefox,用户anu,本地192.168.244.128:53761, 远程216.58.210.46:https -
match => {"message" => "%{SYSLOGTIMESTAMP:timestamp} (?:%{SYSLOGFACILITY} )?%{SYSLOGHOST:logsource} %{SYSLOGPROG:sys}: %{WORD:wr}: %{WORD} (?:%{URIPATHPARAM:path}|[?(]%{WORD:path}[?)]), (%{WORD:word}|%{WORD:word} %{WORD:word}, %{WORD:word}) (%{IPORHOST:ip}:%{POSINT:nu}), %{WORD} (%{IPORHOST:ipp}:%{WORD:n})"}
但是由于某种原因,我能够用相同的模式解析前两种类型,但是我不能解析第三种类型。我已经在这里测试了第三行,并且您的模式一切正常