我是这个小组的新手。能告诉我如何为下面的日志消息编写样本grok过滤器吗?
1458164618009,971866112000,samplehost.com内存pid = 48653
1)UnixTime 2)Kbs中使用的内存 3)主机 4)Memory Pid是静态文本 5)48653是进程ID
谢谢。
答案 0 :(得分:2)
以下 grok 模式适用于您的日志样本:
%{NUMBER:UNIX_Timestamp},%{NUMBER:memoryUsed},%{GREEDYDATA:host} Memory pid=%{NUMBER:processId}
您可以使用 https://grokdebug.herokuapp.com/ 进行调试和创建模式。并且可以使用 https://github.com/hpcugent/logstash-patterns/blob/master/files/grok-patterns 来检查哪些正则表达式可能对您的情况有所帮助。根据您拥有和正在处理的日志种类,其他一些模式可能更有用。