我使用神交调试器for SAP日志写了一个神交模式,但我不知道在Logstash配置中使用它:
神交模式:
(?<AUDIt_LOG>[(0-9A-U]{0,4})(?<DATE>[0-9A-F]{8})%{INT:Log_Code}(?<Type>[a-zA-Z]{0,5})%{NOTSPACE:ServiceName} %{SPACE} %{NOTSPACE:Host} %{SPACE} %{WORD:Bank}&&%{WORD:BANK2}%{SPACE} %{WORD:USERNAME}
如何使用过滤器神交解析我的日志消息?
在logstash.conf文件的输入插件和输出插件之间添加此
filter {
grok {
match => {
"message" => "([(0-9A-U]{0,4})([0-9A-F]{8})%{INT:Log_Code}([a-zA-Z]{0,5})%{NOTSPACE:ServiceName}%{SPACE}%{NOTSPACE:Host}%{SPACE}%{WORD:Bank}&&%{WORD:BANK2}%{SPACE}%{WORD:USERNAME}"
}
}
}
阅读this额外的解释。
更新:
有上神交模式的一些空间。
输入
2AUK20170407183522001768800000D0itzpiascECCSERVICE SAPMSSY1 3001EDIN&&IDOC_INBOUND_ASYNCHRONOUS itzpiascs
产量
ServiceName 0itzpiascECCSERVICE
Log_Code 183522001768800000
BANK2 IDOC_INBOUND_ASYNCHRONOUS
USERNAME itzpiascs
Bank 3001EDIN
Host SAPMSSY1
希望这可以帮助