这个日志的GROK模式是什么?

时间:2016-07-29 07:34:46

标签: logstash logstash-grok grok

任何人都可以告诉我这个日志的GROK模式

我是Logstash的新手。任何帮助表示赞赏

  

:“ppsweb1 [ERROR] [JJN01234313887b4319ad0536bf6324j34h5469624340M] [913h56a5-e359-4a75-be9a-fae60d1a5ecb] 2016-07-28 13:14:58.848 [http-nio-8080-exec-4] PaymentAction - 净额149644”

1 个答案:

答案 0 :(得分:0)

我尝试了以下内容:

%{WORD:field1} \[%{LOGLEVEL:field2}\] \[%{NOTSPACE:field3}\] \[%{NOTSPACE:field4}\] %{TIMESTAMP_ISO8601:timestamp} \[%{NOTSPACE:field5}\] %{WORD:field6} - %{GREEDYDATA:field7} %{NUMBER:filed8}

我得到了输出:

{
  "field1": [
    [
      "ppsweb1"
    ]
  ],
  "field2": [
    [
      "ERROR"
    ]
  ],
  "field3": [
    [
      "JJN01234313887b4319ad0536bf6324j34h5469624340M"
    ]
  ],
  "field4": [
    [
      "913h56a5-e359-4a75-be9a-fae60d1a5ecb"
    ]
  ],
  "timestamp": [
    [
      "2016-07-28 13:14:58.848"
    ]
  ],
  "field5": [
    [
      "http-nio-8080-exec-4"
    ]
  ],
  "field6": [
    [
      "PaymentAction"
    ]
  ],
  "field7": [
    [
      "Net amount"
    ]
  ],
  "filed8": [
    [
      "149644"
    ]
  ]
}

您可以根据需要更改字段名称。您没有在问题中提及有关预期输出的任何内容。所以这只是为了给你一个基本的想法。如需进一步修改,您可以使用http://grokdebug.herokuapp.com/来验证过滤器。

注意:我使用过基本模式,有复杂的模式,您可以使用调试器来满足您的需求。

祝你好运!