logstash _grokparsefailure on successful match 无论grok成功与否都有解析失败标签
匿名 | 发布于2018年02月13日 | 阅读数:10465
conf文件基本如下所示:
input {
file {
type => "agent"
path => [
"/data/logs/agent/**/*"
]
}
}
filter {
grok {
break_on_match => false
match => { "path" => "agent/%{BASE16NUM:comid}/%{BASE16NUM:agent_id}/.*" }
match => { "message" => "\[%{NUMBER:pid:int}-%{DATA:tid:int}:%{NUMBER:row:int}\] %{TIMESTAMP_ISO8601:log_time} \[%{DATA:log_level}\] \- %{GREEDYDATA:log_body}" }
tag_on_failure => []
}
}
output {
elasticsearch {
........
}
}
最后在es中发现,所有成功的事件,每一条记录的tags字段中都包含_grokparsefailure标签,这个标签是怎么产生的-明明已经匹配成功了啊
input {
file {
type => "agent"
path => [
"/data/logs/agent/**/*"
]
}
}
filter {
grok {
break_on_match => false
match => { "path" => "agent/%{BASE16NUM:comid}/%{BASE16NUM:agent_id}/.*" }
match => { "message" => "\[%{NUMBER:pid:int}-%{DATA:tid:int}:%{NUMBER:row:int}\] %{TIMESTAMP_ISO8601:log_time} \[%{DATA:log_level}\] \- %{GREEDYDATA:log_body}" }
tag_on_failure => []
}
}
output {
elasticsearch {
........
}
}
最后在es中发现,所有成功的事件,每一条记录的tags字段中都包含_grokparsefailure标签,这个标签是怎么产生的-明明已经匹配成功了啊
3 个回复
luohuanfeng
赞同来自: shwtz
tacsklet - 公司有用到es
赞同来自: shwtz
locatelli
赞同来自:
所以是不是实际上并没有匹配?