grok过滤模式问题
我尝试将日志文件的loglevel与grok过滤器匹配,但仍然得到_grokparsefailure。问题可能是[和日志级别之间的空间。
日志示例:2017-04-21 10:12:03,004 [INFO]消息
我的过滤器:
filter {
grok {
match => {
"log.level" => "\[ %{LOGLEVEL:loglevel}\]"
}
}
}
我也尝试了其他一些解决方案但没有成功:
"\[ *%{LOGLEVEL:loglevel}\]"
"\[%{SPACE}%{LOGLEVEL:loglevel}\]"
提前感谢您的帮助
2 个答案:
答案 0 :(得分:0)
点是默认字段是消息,您需要匹配所有字符串
filter {
grok {
match => {
"message" => "%{TIMESTAMP_ISO8601:logDate} \[ %{LOGLEVEL:loglevel}\]%{GREEDYDATA:messages}"
}
}
}
答案 1 :(得分:0)
问题出在过滤器中的选项match上:此选项是一个哈希值,它告诉过滤器要看哪个字段和要看哪个字段。
您的正则表达式很好(您可以使用http://grokconstructor.appspot.com/do/match进行检查),问题出在字段名称上;应该是message。
因此,在您的情况下,您的过滤器应如下所示:
grok {
match => {
"message" => "\[ %{LOGLEVEL:loglevel}\]"
}
}
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?