我的日志看起来像这样(IIS Full Log)
2015-03-12 16:46:33 W3SVC1 TESTPC 192.168.50.4 GET / - 443 - 217.20.181.177 HTTP/1.1 Mozilla/5.0+(Windows+NT+6.3;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/40.0.2214.115+Safari/537.36 - - hideme.ru 200 0 0 1449 402 187
我的格式为httpversion(看起来像HTTP / 1.1)。我不知道如何格式化
我只使用grok模式页面就使用了以下格式。
%{TIMESTAMP_ISO8601:timestamp} %{WORD:sitename} %{NOTSPACE:whost} %{IPORHOST:hostip} %{WORD:method} %{URIPATH:page} %{NOTSPACE:query} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clientip} %{GREEDYDATA:httpversion} %{NOTSPACE:useragent} %{NOTSPACE:cookie} %{NOTSPACE:referrer} %{WORD:host} %{NUMBER:status} %{NUMBER:substatus} %{NUMBER:scstatus} %{NUMBER:csbytes} %{NUMBER:timetaken}
答案 0 :(得分:0)
如果你想进入http版本部分(HTTP / 1.1的1.1),你可以执行以下操作(取自logstash-patterns-core,COMMONAPACHELOG):
HTTP/%{NUMBER:httpversion}