我希望我的grok根据我的自定义模式输出结果
输入:May 23 22:23:39 vd='root'
我做了一个grok发现,结果是:
%{SYSLOGTIMESTAMP} vd =%{QS}
我想创建一个自定义模式,使用已发现的结果参数或条件。没有成功,这是我的自定义模式,对于这个模式模式是新的。
#Myown
MYCUSTOM %{SYSLOGTIMESTAMP}[ ]%{QUOTEDSTRING}
答案 0 :(得分:1)
我刚检查过你的模式并且没问题: MYCUSTOM%{SYSLOGTIMESTAMP:myTime} vd =%{QUOTEDSTRING:myString}
您需要做的就是向grok提供要存储值的字段名称。我使用了“myTyme”和“myString”并且工作了。
答案 1 :(得分:0)
%{SYSLOGTIMESTAMP:Timestamp} vd='%{DATA:String}'
也许这会有所帮助