我正在尝试使用 OpenSearch 而不是 Logstash 日志。 我有两个日志,但第二个日志不适用于 OpenSearch 可用字段。
这是我的两个日志,每个日志都有不同的 log4j 模式。它是第三方解决方案,因此这些日志模式无法更改。
Log1
%d %5p [%c] [%X{txIp}] [%X{mbrNo}] %m%n
Log2
[%-5p][%d{yyyyMMdd HH:mm:ss.SSS}][%t]%c{4}.%M(%L) - %X{reqCommand}|%X{svcTrId}|%m%n
这是我的
logstash.conffilter {
if [fields][index] == "log1"{
grok {
match => {
"message" => "%{TIMESTAMP_ISO8601:date} %{LOGLEVEL:logLevel} \[%{DATA:class}\] \[%{DATA:txIp}\] \[%{DATA:mbrNo}\] %{GREEDYDATA:message}"
}
}
} else if [fields][index] == "log2" {
grok {
match => {
"message" => "\[%{LOGLEVEL:logLevel}\]\[%{TIMESTAMP_ISO8601:date}\]\[%{DATA:thread}\]%{DATA:class}.%{DATA:method}\(%{DATA:line}\) - %{DATA:reqCommand}\|%{DATA:svcTrId}\|%{GREEDYDATA:message}"
}
}
}
date {
match => ["date", "ISO8601"]
}
}
终于成功了。
这是我的过滤器。
filter {
if [fields][index] == "log1"{
grok {
match => {
"message" => "%{TIMESTAMP_ISO8601:logdate} %{LOGLEVEL:logLevel} \[%{DATA:class}\] \[%{DATA:txIp}\] \[%{DATA:mbrNo}\] %{GREEDYDATA:message}"
}
}
} else if [fields][index] == "log2" {
grok {
match => {
"message" => "\[%{LOGLEVEL:logLevel}\](\[%{YEAR:year}%{MONTHNUM:month}%{MONTHDAY:day} %{TIME:time}\]):date\[%{DATA:thread}\]%{DATA:class}.%{DATA:method}\(%{DATA:line}\) - %{DATA:reqCommand}\|%{DATA:svcTrId}\|%{GREEDYDATA:message}"
}
}
}
date {
match => ["logdate", "ISO8601"]
}
}