如何使用logstash将自定义格式化日志文件拆分为json?

时间:2017-10-23 08:45:30

标签: json elasticsearch logstash elastic-stack

我的问题与拆分txt日志文件logstash日志文件有关。我的意思是自定义字符串txt TO json格式化但是如何形成?

我的日志就是这样:



 
2017-10-18 18:04:25,194|231|ERROR|Ex:GeneralResource_tr-TR_Title.ResourceKey_1 resource key already added to cache 
2017-10-18 18:04:25,194|231|ERROR|Ex:GeneralResource_en-US_Title.ResourceKey_1 resource key already added to cache 
2017-10-18 18:04:25,194|231|ERROR|Ex:GeneralResource_en-US_Title.Close_1 resource key already added to cache 
2017-10-18 18:04:25,194|231|ERROR|Ex:GeneralResource_tr-TR_Title.Close_1 resource key already added to cache 
2017-10-18 18:04:25,194|231|ERROR|Ex:vbfavouriteshortcuts_en-US_newshortcut-item.vbText_0 resource key already added to cache




我的自定义模板:

时间戳|的requestId |日志类型|消息

但我想将它转换为json格式以与logstash一起使用?我怎么能这样做?

1 个答案:

答案 0 :(得分:1)

您可以在Logstash中使用Grok filter plugin解析日志。

...
filter {
    grok {
        match => {"message" => "%{TIMESTAMP_ISO8601:TimeStamp}\|%{NUMBER:RequestId}\|%{LOGLEVEL:LogType}\|%{GREEDYDATA:Message}"}
    }
}
...
相关问题
最新问题