Question

我有一个GROK模式，我试图在Logstash中使用它在GROK调试器website内但不在Log stash中。我尝试了不同的配置但没有成功。我希望有人可以帮我确定为什么这不起作用。

输入：2015-04-15 12：43：23.788 1883 AUDIT nova.compute.resource_tracker [ - ]免费磁盘（GB）： - 7

搜索模式：可用磁盘\（GB \）：\ - ％{INT：auth_method}

我想提取值 7

感谢您的帮助!!!!

Answer 1

讨厌说，OP，但它对我有用：

input {
        stdin {}
}
filter {
    grok {
        match => [ message, "Free disk \(GB\): \-%{INT:auth_method}" ]
    }
}
output {
        stdout { codec => rubydebug }
}

给你这个：

2015-04-15 12:43:23.788 1883 AUDIT nova.compute.resource_tracker [-] Free disk (GB): -7
{
        "message" => "2015-04-15 12:43:23.788 1883 AUDIT nova.compute.resource_tracker [-] Free disk (GB): -7",
       "@version" => "1",
     "@timestamp" => "2015-04-16T15:57:17.229Z",
           "host" => "0.0.0.0",
    "auth_method" => "7"
}

检查模式末尾是否有额外的空格？

GROK Pattern与GROK Debugger一起使用，但在Logstash GROK中没有

1 个答案: