一开始,我的模式不正确,因此每个记录都是不匹配的,并在elasticsearch中显示为整行而不是分隔的行。 然后我改变了通过http://grokdebug.herokuapp.com/的模式。现在我无法在elasticsearch中看到我的任何新记录。我的elasticsearch只显示“_grokparsefailure”标记的记录。
匹配的在哪里? THX
答案 0 :(得分:0)
我找到了根本原因 - logstash中的配置问题。我在输出部分选择了错误的类型。我解析消息,将值赋给名为&#34的变量;键入"。所以"键入"有错误的价值。