身安不如心安,屋宽不如心宽 。

logstash grok debugger正确,写入配置文件中解析报grok 错误

Logstash | 作者 hongyeqingxue | 发布于2017年09月27日 | 阅读数:3889
分享到:QQ空间新浪微博微信QQ好友印象笔记有道云笔记
日志格式:
[INFO] 100092 2017-09-12 00:00:02 547f42d3-3d3c-9e83-e6c4-fab2566c663e front_req: {\"pAppCode\":\"100092\",\"pCinemaID\":\"18\",\"pScreenID\":\"98\",\"pVerifyInfo\":\"e5c919d906180f7e81152f07fe562bdf\"}

grok:\[%{LOGLEVEL:loglevel}\] %{NUMBER:appCode} %{TIMESTAMP_ISO8601:time} %{UUID:uuid} (%{WORD: request})?(\:)?%{GREEDYDATA:Message}

配置文件中如下:
input {
        file {
           path => "/test.log"
           type => "web_log"
           start_position => "beginning"
           codec => multiline {
               pattern => "^\["
               negate => true
               what  => "next"
           }
           sincedb_path => "/dev/null"
        }
    }

    filter {
           grok {
              patterns_dir => "../patterns/web_log"
              match => { "message" => "%{WEBLOG}" }
           }
    }

patterns中配置如下
WEBLOG \[%{LOGLEVEL:loglevel}\] %{NUMBER:appCode} %{TIMESTAMP_ISO8601:time} %{UUID:uuid} (%{WORD: request})? (\:)? %{GREEDYDATA:Message}
 
kibana结果如下:
"message": "[INFO] 100092 2017-09-12 00:00:02 547f42d3-3d3c-9e83-e6c4-fab2566c663e front_req: {\"pAppCode\":\"100092\",\"pCinemaID\":\"18\",\"pScreenID\":\"98\",\"pVerifyInfo\":\"e5c919d906180f7e81152f07fe562bdf\"}",
    "type": "web_log",
    "tags": [
      "_grokparsefailure"
    ]
 
2017-09-27 添加评论

没有找到相关结果

    已邀请:
    为什么被折叠? 0 个回复被折叠

    要回复问题请先登录注册

    Copyright © 2024 · CC BY-NC-SA 3.0

    本站服务器及带宽由 提供赞助