您好,谢谢您的时间。 我需要创建配置文件,这是输入:
2017-02-14T13:39:33 + 02:00 PulseSecure:2017-02-14 13:39:33 - ive - [10.16.4.225] dpnini(用户)[] - 测试密码领域限制 dpnini / Users
失败
这是必需的文本文件输出:
{"时间戳":" 2017-02-14T13:39:33 + 02:00 ""供应商":" PulseSecure"" localEventTime":" 2017年2月14日 13:39:33"" USERIP":" 10.16.4.225""用户名":" dpnini"&# 34;组":"用户"" vpnMsg":"测试 dpnini / Users \ r"}
的密码域限制失败
我所知道的是我用" bin / logstash -f logstash-simple.conf"启动logstash。 我也知道我需要更改的文件是配置文件夹中的YML文件。
谢谢!
答案 0 :(得分:0)
Logstash conf文件(你的logstash-simple.conf)由三部分组成:输入,过滤,输出。输入/输出是数据的源/目标,而过滤器定义数据转换。 检查样本的弹性页面:
https://www.elastic.co/guide/en/logstash/current/config-examples.html
你真正需要做的是在过滤器中写入grok模式,将你的文本分成你在json中的标记/字段。 grok的简单描述: