我为logstash创建了以下配置文件(在Windows上工作):
input {
file {
path => ["E:/TestLog.txt"]
start_position => "beginning"
}
}
filter {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:date} %{WORD:vendor}\: %{TIMESTAMP_ISO8601:date} \- %{WORD:remove} \- \[%{IP:userIP}\] %{USERNAME:username}\(%{WORD:group}\)\[\] \- %{GREEDYDATA:vpnMsg}" }
}
}
output {
stdout {
codec => rubydebug
}
file {
path => ["E:/TestParsed2.txt"]
}
}
logstash停留在以下几行:
E:\logstash-5.2.2\bin>logstash -f E:\logstash-5.2.2\logstash-simple.conf
Using JAVA_HOME=C:\Program Files\Java\jre1.8.0_65 retrieved from C:\ProgramData\Oracle\java\javapath\java.exe
[2017-03-13T21:29:04,072][INFO ][logstash.pipeline ] Starting pipeline {"id"=>"main", "pipeline.workers"=>4, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>5, "pipeline.max_inflight"=>500}
[2017-03-13T21:29:04,398][INFO ][logstash.pipeline ] Pipeline main started
[2017-03-13T21:29:04,484][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
任何想法为什么? 怎么解决这个? 如何验证文件是否已打开并正常工作? 我已经使用grok调试器进行了验证,并且解析正在运行。
这是我要解析的文件:
2017-02-14T13:39:33+02:00 PulseSecure: 2017-02-14 13:39:33 - ive - [10.16.4.225] dpnini(Users)[] - Testing Password realm restrictions failed for dpnini/Users
答案 0 :(得分:0)
找到解决方案 - 在每次运行之前创建\修改输入文件。
但是,我现在遇到了一个新问题,我似乎无法删除'删除'来自grok匹配过滤器的字段。 每当我尝试使用mutate时,我都会得到一个grokparsefailure。 知道为什么吗?
感谢。