logstash grok解析用户代理字符串解析某些字段

时间:2015-02-26 17:26:54

标签: logstash grok logstash-grok

我在日志文件中有这个UA Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2267.0 Safari/537.36

现在我真正想要的是抓住像Windows NT 6.1(即win7)和WOW64这样的东西,即64位系统。

我当前的grok过滤器解析了所有内容,然后运行remove field以丢弃不需要的东西。有更简单/更清洁的方式吗?

1 个答案:

答案 0 :(得分:4)

使用useragent filter解析此类字段。

filter {
  useragent {
    source => "field-with-useragent"
  }
}
但是,它不会提取WOW64字符串,但我怀疑它是非常有用的(并且我确定并非所有浏览器都提供它)。也就是说,您可以使用条件来查找该字符串:

if [field-with-useragent] =~ /\bWOW64\b/ {
  mutate {
    add_tag => ["64bit"]
  }
}