我是logstash的新手,我正在尝试为我的日志文件创建grok模式,这是文本类型。 记录在文件中的数据如下:
UPDATE mytab SET complex_col.r = (complex_col).r + 1;
我想以这样的方式理解它:它应该填充以下字段:
Timestamp: 24-03-2016 19:59:11
Message: Received request to get data
Title:GetData()
Machine: LTPN
----------------------------------------
Timestamp: 24-03-2016 20:15:34
Message: ERROR [08001] [Microsoft][ODBC SQL Server Driver][DBNETLIB]SQL Server does not exist or access denied.
ERROR [01000] [Microsoft][ODBC SQL Server Driver][DBNETLIB]ConnectionOpen (Connect()).
ERROR [01S00] [Microsoft][ODBC SQL Server Driver]Invalid connection string attribute
Title:GetData()
Machine: LTPN
----------------------------------------
有人可以帮我创建模式吗?
答案 0 :(得分:0)
第一步是将您的多行消息合并到一个logstash事件中。根据数据进入logstash的方式,您可以在此端执行此操作(filebeat支持多行)。如果没有,请查看多行编解码器。
将这些行合并后,您就可以使用grok {}过滤器来应用一个正则表达式来创建所需的字段。