正常事件可能是这样的:
2015-11-20 18:50:33,739 [TRE01_0101] [76] [10.117.10.220]
但有时我会记录"默认" IP:
2015-11-04 23:14:27,469 [TRE01_0101] [40] [default]
如果我在grok中定义了如下的[SYNTAX:SEMANTIC]模式:
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:time} \[%{DATA:instance}\] \[%{NUMBER:numeric}\] \[%{IP:client}\]}"}
}
如何解析包含dafault作为IP的日志?
现在我收到了_grokparsefailure因为"默认"不是" IP语言"。
提前致谢
答案 0 :(得分:1)
您可以将事物分组,然后使它们成为条件:
(%{IP:client}|default)