我想解析这个日志并只返回两个元素(2016-05-26T10:40:39,513 babacar)。
我的日志是:
2016-05-26T10:40:39,513 INFO [00000003] babacar - 注意:无法 打开SASUSER.PROFILE。将改为打开WORK.PROFILE。
但我的过滤器不起作用。请帮忙
logstash -e 'input { stdin { } } filter { grok{ match=>{"message"=>"%{TIMESTAMP_ISO8601:datecreer} %{WORD}"} } } output { stdout { codec => rubydebug } }'
答案 0 :(得分:0)
试试%{TIMESTAMP_ISO8601:datecreer} %{WORD} \[%{INT}\] %{DATA:app_name} - %{GREEDYDATA}。您可以在http://grokconstructor.appspot.com