三人行必有我师

请教一下grok怎么切分这条日志

Logstash | 作者 Hyber | 发布于2017年08月22日 | 阅读数:2609
分享到:QQ空间新浪微博微信QQ好友印象笔记有道云笔记
请问如下的日志怎么做切割:

2017-08-22 11:14:31\t passport\t 119.9.105.122\t sso\t 0ms\t 0\t SET character_set_results = NULL

我的难点是grok语法无法匹配到\t和空格,我是这么写的grok无法进行解析。

%{DATESTAMP:querytime}\s+%{WORD:user}
2017-08-22 添加评论

没有找到相关结果

    已邀请:

    JKeita

    赞同来自:

    自己测试你写的可以匹配成功
    2017-08-22 0 1
    分享
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2024 · CC BY-NC-SA 3.0

    本站服务器及带宽由 提供赞助