非http日志的ELK堆栈

时间:2017-03-14 06:14:01

标签: elasticsearch logstash elastic-stack

我使用ELK进行nginx日志。它工作得很棒。可以将ELK用于非http日志吗? 我有一个如下记忆日志

  • 10/24/16 04:10:01 2434 2559 66.81%
  • 10/24/16 04:11:01 2436 2565 66.97%
  • 10/24/16 04:12:01 2437 2566 66.00%

我使用了以下匹配

 grok {
    match => 
  { "message" => "%{DATE:TIME} %{NUMBER:FREE} %{NUMBER:TOTALFREE} %{NUMBER:free_percent}%" }
  }
  date {
   match=> ["timestamp", "dd/MM/yyyy HH:mm:ss"]
  }

我收到错误]停止管道{:id =>" main"}。

我认为时间戳有问题,所以我删除了时间戳,但仍然是同样的问题

1 个答案:

答案 0 :(得分:0)

你忘记了一个结束的花括号。你的grokstring也许不会起作用。而且你的日期字符串是错误的,因为日期是美国格式。

grok {
  match => { "message" => "%{DATESTAMP:TIME} %{NUMBER:FREE} %{NUMBER:TOTALFREE} %{NUMBER:free_percent}%" }
}
date {
  match=> ["timestamp", "MM/dd/yyyy HH:mm:ss"]
}
相关问题
最新问题