如何在以下日志行中解析字段jsession?
2015-11-02 11:28:02,838 [TF701_0101] [124] [10.126.132.10] [JWFhW36DfTCZYpGgzF3QlDwN8j2cDznrKSBvz8hQw0lkTdknr67Y!1315365112!-629296615; path=/]
这是我目前的过滤器
filter {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:tiempo} \[%{WORD:instancia}\] \[%{NUMBER:numerico}\] \[%{IP:cliente}\] \[%{WORD:jsession}\]"}
}
date {
match => [ "tiempo" , "YYYY-MM-dd HH:mm:ss,SSS"]
}
}
答案 0 :(得分:1)
你的格鲁克模式几乎是好的。如果您对public Facts()
字段而不是GREEDYDATA使用jsession,则可以获得所需内容:
WORD使用样本日志行运行此过滤器将产生以下输出:
filter {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:tiempo} \[%{WORD:instancia}\] \[%{NUMBER:numerico}\] \[%{IP:cliente}\] \[%{GREEDYDATA:jsession}\]"}
}
date {
match => [ "tiempo" , "YYYY-MM-dd HH:mm:ss,SSS"]
}
}