grok模式从日志消息中提取数据

时间:2016-05-19 10:52:48

标签: elasticsearch logstash logstash-grok grok

最近我开始分析ELK堆栈以进行日志处理。在这里我需要从我的日志消息中获取一些数据作为字段,以使这个日志更有效。 示例日志消息:

05:25:11,405 DEBUG ClassName:? - Start of some data like ^Akey1=value1^Akey2=value2^Akey3=value3....keyN=valueN

如何使用grok将key2的值转换为字段。
我的尝试如下:

%{TIME:timestamp}\s+%{LOGLEVEL:level}.*key2.*

不确定我应该如何保存key2的值 在此先感谢!!

1 个答案:

答案 0 :(得分:2)

如果您只想获得value2,可以使用:

%{TIME:timestamp}\s+%{LOGLEVEL:level}%{GREEDYDATA}key2=%{GREEDYDATA:key2}\^A

您可以在此处试用:http://grokdebug.herokuapp.com/

相关问题
最新问题