Thu Sep 27 15:30:27 BST 2012:- Invalid token $_POST[custom], which indicates the amount, userid
这是来自我尝试使用grok解析logstash的日志文件。
前几个领域还可以,而且看起来非常接近DATESTAMP_OTHER,但我认为BST的英国时区搞砸了。
到目前为止,但不知道如何使其发挥作用!
%{DAY} %{MONTH} %{MONTHDAY} %{TIME} %([PMCEB][SD]T) %{YEAR} %{GREEDYDATA:message}
答案 0 :(得分:11)
1)试用Grok Debugger,这样你就可以在现场测试你的Grok模式。
2)另外,将%([PMCEB][SD]T)更改为(?<variable_name>(BST)*)之类的内容。您使用了正确的正则表达式的错误语法。
3)最重要阅读docs。我刚刚提到的所有内容都直接来自文档。
答案 1 :(得分:0)
以下是解决问题的方法:
TZEXPANDED (?:[PMCEB][SD]T) MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZEXPANDED} %{YEAR}
或者如果您愿意:
MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{(?:[PMCEB][SD]T)} %{YEAR}
在我看来,第一个选项更好,因为您可以稍后使用该模式来获取其他内容
问候