Мой лог-файл имеет строки вида:Grok фильтр для logstash
10/13 14:05:18.192 [modulename]: [pid]: (debug level string): message string XYZ:<xyz value>
где
modulename
является строкойpid
представляет собой целое числоdebug level string
является строкой, как «отладка» или «информация» или «ошибка»message string
строкаxyz value
представляет собой целое число
пример:
10/13 14:05:18.192 [MyModule]: [12345]: (debug): This is my message. XYZ: 987
Я искал вокруг и попробовал несколько вещей, но я получаю _grokparsefailure
. Может кто-нибудь помочь мне показать, какой фильтр я могу использовать в logstash для анализа этих журналов?
Что вы пробовали? И вы пытались использовать http://grokdebug.herokuapp.com/ для постепенного добавления в свой шаблон? – Alcanzar
Если я приведу примерный журнал для открытия в grokdebugger, он предлагает:% {SYSLOGPROG} {URIPATHPARAM}% {HAPROXYTIME}% {SYSLOG5424SD}:% {NAGIOSTIME}: (debug): Это мое сообщение. XYZ: 987, но когда я использую ссылку Debugger в grokdebugger и использую этот шаблон и предоставляю свой пример ввода, ему это не нравится. Кроме того, кажется, что grokdebugger обрабатывает 10/13 как путь? и pid как НАГИОСТИМ - не кажется правильным. – redkite
'(? \ d \ d/\ d \ d)% {ВРЕМЯ: время} \ [% {WORD: module} \]: \ [% {WORD: pid} \]:' соответствует началу вашего журнала ... посмотрим, можете ли вы закончить его –
Alcanzar