_grokparsefailure при включении «семантической» части

Question

Я тестирую свою конфигурацию logstash с помощью rspec, чтобы соответствовать основному журналу tomcat, но когда я указываю поля в моем шаблоне grok, он терпит неудачу (без полей, он преуспевает!).

config <<-CONFIG 
filter { 
    grok { 
    patterns_dir -> "./patterns" 
    pattern => "%{CATALINA_DATESTAMP:logTimestamp} %{JAVACLASS} %{WORD}" 
    } 
} 
CONFIG 

sample 'Jul 15, 2015 9:33:23 AM org.apache.catalina.core.ApplicationContext log' 

// EDIT: исправлены TOMCAT_DATESTAMP к CATALINA_DATESTAMP, который: не

CATALINA_DATESTAMP %{MONTH} %{MONTHDAY}, 20%{YEAR} %{HOUR}:?%{MINUTE}(?::?%{SECOND}) (?:AM|PM) 

Когда ": logTimestamp" часть находится в шаблоне, ничего подобран. когда он удаляется, он соответствует строке ... любые идеи о том, почему? Это ошибка пользователя, установка ошибки или что-то еще?

Answer 1

Проблема, вероятно, вызвана шаблоном TOMCAT_DATESTAMP. Когда вы посмотрите на grok default patterns for java, вы увидите, что он не соответствует вашему вводу.

Это определение шаблона:

TOMCAT_DATESTAMP 20%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND}) %{ISO8601_TIMEZONE} 

Ваш вход:

Jul 15, 2015 9:33:23 AM 

Либо вы изменить свой вход, чтобы соответствовать шаблону или определить другой шаблон. После мог бы удовлетворить ваши цели:

%{MONTH} %{MONTHDAY}, %{YEAR} %{TIME}