找不到logstash grok过滤器模式

时间:2015-04-14 19:46:13

标签: regex logstash-grok

我一直在尝试为logstash创建一些自定义grok模式。他们中的大多数工作得很好,但有一个让我难过。模式是:

WINUSER (?<=User:\s)\w+ 

以下是正在搜索的数据示例:

2015-04-14 14:06:18 exchange.ows1.osborneit.com INFO 1149 NT AUTHORITY\NETWORK SERVICE Remote Desktop Services: User authentication succeeded:

User: administrator
Domain: .
Source Network Address: 172.24.1.32

我已经在http://grokconstructor.appspot.com/do/match上对此进行了测试,但它正常运行,但是logstash似乎忽略了它。我似乎无法弄清楚我做错了什么。

以下是我的logstash配置:

input {
   udp {
      type => "eventlog"
      codec => json
      port => 5140
   tags => ['windows', 'eventlog']
   }
}
filter {
  if [type] == "eventlog" {
  grok {
    match => [
    "message", "%{IP:client}",
    "message", "%{WINUSER:username}"
    ]
  }
 }
}
output {
  elasticsearch { host => localhost }
  stdout { codec => json }
}

更新:似乎问题不在于模式,而在于匹配的顺序。如果我将WINUSER匹配移到IP匹配之上,则可以正常工作,但IP匹配并不适用。不确定为什么两者都不匹配。

1 个答案:

答案 0 :(得分:0)

事实证明问题出在配置文件的过滤器部分。我不得不将grok匹配分成多行,如下所示。

filter {
  if [type] == "eventlog" {
  grok {
    match => [ "message", "%{IPV4:client}" ]
  }
  grok {
    match => [ "message", "%{WINUSER:username}" ]
  }
 }
}