Logstash没有读取我的日志文件

时间:2014-07-17 11:53:05

标签: logstash

我尝试配置logstash以与elasticsearch配合使用,但我无法读取我的日志文件。

我的日志模式是:

 17:06:08.915 TKD [DefaultQuartzScheduler_Worker-1] INFO  
                                 javax.mail - Tables of loaded providers
 17:10:53.767 TKD [DefaultQuartzScheduler_Worker-6] INFO  application - Starting
                                 Jobing [company.Job]

如何配置它以获取[日期时间] [TKD] [DefaultQuartzScheduler] [等级] [应用] [消息]?

我的字段可以像这样填充:

[DateTime] = 17:06:08.915

[TKD] = TKD

[DefaultQuartzScheduler] = DefaultQuartzScheduler_Worker-1

[等级] =信息

[app] = javax.mail

[Message] =加载的提供者表

这是我的conf文件:

input {
    file {
        add_field => [ 'host', 'my-dev-host' ]
        path => 'c:\tmp\utracking.log'
        type => 'app'
        format => 'plain'
    }
}

output {
    elasticsearch_http {
        host => 'localhost'
        port => 9200 
        type => 'app'
        flush_size => 10
    }
}

filter {
    multiline {
        type => 'app'
        pattern => '^[^\[]'
        what => 'previous'  
    }
}

1 个答案:

答案 0 :(得分:1)

如果您要从邮件中提取可以操作并发送到输出的字段,那么grok过滤器就是您要查找的内容。您可以找到grok模式列表here。 grok链接给出了一些很好的例子,所以我就把它留在那里。

请注意,您需要在多线过滤器之后放置grok过滤器。

我希望这有帮助!

相关问题
最新问题