Logstash grok过滤器自定义日期

时间:2015-06-03 07:57:05

标签: logstash logstash-grok

我正在为来自Synology框的系统日志消息编写一个logstash grok过滤器。示例消息如下所示。

Jun  3 09:39:29 diskstation Connection user:\tUser [user] logged in from [192.168.1.121] via [DSM].

我很难过滤出奇怪格式化的时间戳。有人能帮我一把吗?这是我到目前为止所做的。

if [type] == "syslog" and [message] =~ "diskstation" {
    grok {
      match => [ "message", "%{HOSTNAME:hostname} %{WORD:program} %{GREEDYDATA:syslog_message}" ]
    }
  }

你可能已经知道我还没有处理时间戳。一些帮助将不胜感激。

1 个答案:

答案 0 :(得分:0)

以下配置可以帮助您解析日志。

grok {
    match => [ "message", "%{SYSLOGTIMESTAMP:date} %{HOSTNAME:hostname} %{WORD:program} %{GREEDYDATA:syslog_message}" ]
}

您可以在here尝试日志和模式,并在here参考所有提供的模式。

相关问题
最新问题