我是logstash和grok的新手,并试图解析如下所示的日志:
2019-10-23 08:44:38.457 INFO 99999 [ID1=645ae2ae-a9a6-412f-b079-f0495aa9b713, ID2=62702, ID3=3e37ee7c-4e09-4924-be2f-66008dd19032] ---
2019-10-23 08:44:38.796 DEBUG 99999 [ID1=6cf44468-5baa-470b-9ee2-2aa7a74a858f] ---
2019-10-23 08:44:38.849 DEBUG 99999 [ID3=5766d625-366b-4ce6-9a3a-f5e5db3ea65d, ID1=6cf44468-5baa-470b-9ee2-2aa7a74a858f] ---
UUID1可以是第一个或最后一个。UUID2可能不存在。
我该如何用grok解析并保留所有UUID(如果存在的话?
提前感谢。
我不会为此而使用grok。我肯定可以做到,因为您可以在grok模式中有可选字段,但是我认为解剖是一个更好的选择...
dissect { mapping => { "message" => '%{[@metadata][timestamp]} %{+[@metadata][timestamp]->} %{level} %{pid} [%{[@metadata][kvStuff]}] %{}' } }
date { match => [ "[@metadata][timestamp]", "YYY-MM-dd HH:mm:ss.SSS" ] }
kv { source => "[@metadata][kvStuff]" field_split => "," trim_key => " " }