Ich schreibe eine Logstash-Konfigurationsdatei.Wie funktioniert der Grokfilter in Logstash?
Ich habe einen Grok Filter. Ich würde gerne wissen, wie das Spiel im Grok Filter genau funktioniert.
I bezeichnet ein Beispiel in der logstash Seite und sah wie folgt vor:
Ex log: 55.3.244.1 GET /index.html 15824 0.043
Es ist mit der unten stehenden Filter analysiert wird:
filter {
grok {
match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
}
Das heißt, wir versuchen, entsprechen die ganze Protokollzeile der Reihe nach? Meine Protokollzeilen sind unterschiedlich. Sie sind nicht immer in einem angemessenen Rahmen.
Sein wie die unten:
1. 11:10:15---somedata
2. 11:10:20---source--destination-- somedata
3. somedata
Ich würde alle drei Arten Linien aufnehmen möchten, schreiben Also sollte ich verschiedene Match-Filter? Oder ist es in Ordnung, Quell-, Ziel- und Somedata-Felder einzeln in einem einzelnen Match zu erfassen?
Ich suche nach Informationen zu diesem Thema.
ja ich verstehe die Grundlagen von Regex und die grok pattern.Aber ich bin immer noch verwirrt darüber, wie ich Match-Block für die folgenden schreiben kann.
line 1: timestamp source destination a=0,b=1,c=3,d=4
line 2: timestamp a=1,e=5, b=1
line 3: g=0
nehme ich diese drei Zeilen in meinem Log-Datei haben, und ich möchte Linien erfassen, die den Wert für b und g haben. Wie würde mein Matchblock aussehen?
Wird dies erfassen alle Zeilen mit b und g ?? für b sollte es 1 und 2 Zeilen erfassen. für g muss es 3 erfassen. Also sollte meine Ausgabe alle drei Zeilen haben ?? So funktioniert es oder würde es einen grokparse Fehler werfen ??
Um dies hinzuzufügen, wird der Grok-Filter standardmäßig versuchen, die Muster in der Reihenfolge, in der sie geliefert werden, abzugleichen. Wenn Sie also den dritten (den GREEDYDATA) zuerst eingeben, wird er einfach übereinstimmen und dann den Filter verlassen. Sie können mehrere Muster mit der Einstellung break_on_match kombinieren. – Chro
@Chro Danke. Kann ich das zu meiner Antwort hinzufügen? – baudsp
Sicher, bitte tun! – Chro