没有过滤器的_grokparsefailure

时间:2014-12-19 14:07:27

标签: elasticsearch logstash

我有一些简单的logstash配置:

input {
    syslog {
        port => 5140
        type => "fortigate"
    }
}

output {
    elasticsearch {
        cluster => "logging"
        node_name => "logstash-logging-03"
        bind_host => "10.100.19.77"
    }
}

多数民众赞成。问题是最终在elasticsearch中的文档确实包含_grokparsefailure:

{
  "_index": "logstash-2014.12.19",
  ...
  "_source": {
    "message": ...",
    ...
    "tags": [
      "_grokparsefailure"
    ],
    ...
  },
  ...
}

为什么?没有(grok)过滤器......

1 个答案:

答案 0 :(得分:0)

好的:syslog输入显然在内部使用了gork。因此,如果某些其他日志格式超过" syslog"点击输入a" _grokparsefailure"将会发生。

相反,我只是使用" tcp"和" udp"输入以达到所需的结果(之前我没有意识到)。

干杯

相关问题
最新问题