使用Logstash 2.3.3时,grok过滤器不适用于最后一个字段。
要重现此问题,请按以下步骤创建test.conf:
input {
file {
path => "/Users/izeye/Applications/logstash-2.3.3/test.log"
}
}
filter {
grok {
match => { "message" => "%{DATA:id1},%{DATA:id2},%{DATA:id3},%{DATA:id4},%{DATA:id5}" }
}
}
output {
stdout {
codec => rubydebug
}
}
运行./bin/logstash -f test.conf
并在启动后,在另一个终端运行echo "1,2,3,4,5" >> test.log
我得到了以下输出:
Johnnyui-MacBook-Pro:logstash-2.3.3 izeye$ ./bin/logstash -f test.conf
Settings: Default pipeline workers: 8
Pipeline main started
{
"message" => "1,2,3,4,5",
"@version" => "1",
"@timestamp" => "2016-07-07T07:57:42.830Z",
"path" => "/Users/izeye/Applications/logstash-2.3.3/test.log",
"host" => "Johnnyui-MacBook-Pro.local",
"id1" => "1",
"id2" => "2",
"id3" => "3",
"id4" => "4"
}
您可以看到丢失的id5。
我不确定这是错误还是错误配置。
任何提示都将受到赞赏。
答案 0 :(得分:1)
我认为这是因为DATA模式是如何定义的。它的正则表达式是.*?,所以这是一个懒惰的匹配。
这不是一个错误,这是正则表达式的工作方式(example)
但是你可能想问一个正则表达式的问题,以便得到准确的答案。
作为解决方案,您可以将DATA替换为NUMBER(或适合您情况的内容)。 GREEDYDATA也可以。