使用 Grok 解析日志

问题描述 投票:0回答:1

我是 Grok 的新手,我有一条日志消息。我需要解析 3 个字段:IP / 日期和时间以及其余字段。请给我建议。

这是我尝试过的,无法分割日期/时间和其余消息

谢谢大家

logstash-grok logstash-configuration grok
1个回答
0
投票

您可以在 grok-pattern.json

中看到一些默认模式

首先,您需要定义名为 

DATESTAMP_CUSTOM
的自定义模式来匹配您的时间字符串。

%{MONTHDAY}/%{MONTH}/%{YEAR}:%{HOUR}:%{MINUTE}:%{SECOND} %{ISO8601_TIMEZONE}

并以 grok 模式使用它

%{IPORHOST:ip} - - \[%{DATESTAMP_CUSTOM:dts}\] %{GREEDYDATA:rest}

grok 调试器中的输出

[
  {
    "ip": "127.0.0.1",
    "dts": "31/Mar/2022:21:40:35 -0500",
    "rest": "\"POST /dispatcher-918200/dispReceiver HTTP/1.1\" 200 "
  }
]
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.