尝试通过logstash解析特定的日志格式,我真的经过几点指示..我已经有logstash读取文件并将输出发送到ElasticSearch,但我需要将日志分解为其他字段,这样我才能真正对数据做些什么..
我的日志采用以下格式,我正在尝试捕获标记之间的值
<Tag>5<\Tag><Tag1>999<\Tag2><User>abcde<\User>
关于如何解析此文件的任何想法...
由于
我现在发现'mutate'和'gsub',但由于某种原因我得到以下错误..这是我的过滤器..
过滤器{ if [type] ==“xcp-stats”{
mutate {
gsub => [
"fieldname", "/", "\\"
]
}
# match timestamp and add to variable @timestamp
# Current 20150519T06:43:04
date {
match => [ "logdate", "yyyyMMdd HH:mm:ss" ]
target => "@timestamp"
}
grok {
match => [ "message", "(?<usercount>[0-9])" ]
}
}
}
每次解析--configtest参数时,我都会收到以下错误。
错误:在过滤器{
之后的第31行第15行(字节830)中预期#,{,,,]之一任何想法