我有一个小型POC用于Logstash通过RSyslog消耗多个Windows事件和平面日志文件,到目前为止,由于Logstash / Grok提供了出色的文档,所以非常好!
在我努力记录和有一天博客这个经历我遇到了一个令人讨厌的日志条目,我似乎无法过去 - 即使是优秀的在线GrokDebugger也无法识别这些令人讨厌的引用字符串。
以下是日志文件中的一个示例行,其中的部分仅被标识为%{QS}引用的字符串。
<![LOG[Persisting request for program SU Scan for Updates package XXXXXXXX in state Running]LOG]!><time="14:21:46.455+480" date="08-09-2010" component="execmgr" context="" type="1" thread="3328" file="executionrequest.cpp:800">
GrokDegugger将其识别为:
<!%{SYSLOG5424SD}LOG]!><time=%{QS} date=%{QS} component=%{QS} context="" type="1" thread="3328" file="%{JAVACLASS}:800">
理想情况下,我想像这样提取事件:
社区中的其他人是否已成功解析/从System Center日志中提取事件?
提前致谢!