我使用了grok调试器来使顶层格式正常工作,而弹性搜索正好可以看到它。最终,当一个像下面那样的日志线击中它时会发出一个带有“grokparsefailure”的标签,因为每个整数之前有额外的空间(我假设)。是否有标签我可以用来接受任何东西,无论每列有多长或多短?
0000003B 2015-03-14 07:46:14.618 16117 16121
00000DA1 2015-03-14 07:45:54.609 6382 6382
答案 0 :(得分:1)
还可以使用内置的logstash模式%{SPACE}来匹配任意数量的空白字符。
%{INT:num1}%{SPACE}%{INT:num2}
答案 1 :(得分:0)
两个整数之间的一个或多个空格:
%{INT} +%{INT}