我在日志文件中有这个UA
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2267.0 Safari/537.36
现在我真正想要的是抓住像Windows NT 6.1
(即win7)和WOW64
这样的东西,即64位系统。
我当前的grok过滤器解析了所有内容,然后运行remove field
以丢弃不需要的东西。有更简单/更清洁的方式吗?
答案 0 :(得分:4)
使用useragent filter解析此类字段。
filter {
useragent {
source => "field-with-useragent"
}
}
但是,它不会提取WOW64字符串,但我怀疑它是非常有用的(并且我确定并非所有浏览器都提供它)。也就是说,您可以使用条件来查找该字符串:
if [field-with-useragent] =~ /\bWOW64\b/ {
mutate {
add_tag => ["64bit"]
}
}