如果文件的所有日志都在一行中,如何转发日志?

时间:2017-05-20 13:13:36

标签: elasticsearch logging logstash logstash-grok filebeat

我在将日志从rsyslog转发到logstash时遇到了一些麻烦我写了这个grok过滤器但是它没有工作。问题是,服务器正在将所有日志写入一行。

(?<AUDIt_LOG>[(0-9A-U]{0,4})(?<DATE>[0-9A-F]{8})%{INT:Log_Code}(?<Type>[a-zA-Z]{0,5})%{NOTSPACE:ServiceName} %{SPACE} %{NOTSPACE:Host} %{SPACE} %{WORD:Bank}&&%{WORD:BANK2}%{SPACE} %{WORD:USERNAME}

请点击此链接查看示例日志。 https://drive.google.com/open?id=0Bx8yrs4bWFFjTFlpTkJhTl9SMHM

1 个答案:

答案 0 :(得分:0)

您应该确保每行每个日志。您还可以使用Grok调试器来确保正确解析日志。

Grok debugger on Heroku

相关问题
最新问题