我有一个日志文件,其中数据由管道符号分隔。 “|”。一个例子如下。有谁知道如何编写GROK模式来提取它为logstash?
2014-01-07 11:58:48.7694 | LOGLEVEL | LOGSOURCE | LOGMESSAGE
您可以使用gsub API来更改管道“|”空间和使用GROK来提取它。
例如:
filter {
mutate {
gsub => ["message","\|"," "]
}
grok {
match => ["message","%{DATESTAMP:time} %{WORD:LOGLEVEL} %{WORD:LOGSOURCE} %{WORD:LOGMESSAGE}"]
}
}
上面的配置在我的日志上工作。希望这可以帮到你。