我一直在尝试为logstash创建一些自定义grok模式。他们中的大多数工作得很好,但有一个让我难过。模式是:
WINUSER (?<=User:\s)\w+
以下是正在搜索的数据示例:
2015-04-14 14:06:18 exchange.ows1.osborneit.com INFO 1149 NT AUTHORITY\NETWORK SERVICE Remote Desktop Services: User authentication succeeded:
User: administrator
Domain: .
Source Network Address: 172.24.1.32
我已经在http://grokconstructor.appspot.com/do/match上对此进行了测试,但它正常运行,但是logstash似乎忽略了它。我似乎无法弄清楚我做错了什么。
以下是我的logstash配置:
input {
udp {
type => "eventlog"
codec => json
port => 5140
tags => ['windows', 'eventlog']
}
}
filter {
if [type] == "eventlog" {
grok {
match => [
"message", "%{IP:client}",
"message", "%{WINUSER:username}"
]
}
}
}
output {
elasticsearch { host => localhost }
stdout { codec => json }
}
更新:似乎问题不在于模式,而在于匹配的顺序。如果我将WINUSER匹配移到IP匹配之上,则可以正常工作,但IP匹配并不适用。不确定为什么两者都不匹配。
答案 0 :(得分:0)
事实证明问题出在配置文件的过滤器部分。我不得不将grok匹配分成多行,如下所示。
filter {
if [type] == "eventlog" {
grok {
match => [ "message", "%{IPV4:client}" ]
}
grok {
match => [ "message", "%{WINUSER:username}" ]
}
}
}