我有以下日志文件,
[2017-07-07 11:41:30.794] [调查] [你好]
对于上面的日志,我写了如下所示的grok过滤器, match => {"消息" =>" [%{TIMESTAMP_ISO8601:时间戳}] [%{LOGLEVEL:LOGLEVEL}] [%{WORD:MACHINENAME}]"}
但我有另一个场景,我的日志的最后一部分几乎没有改变,如下所示,
[2017-07-07 11:41:30.794] [调查] [C:0:O:1]
为此,我无法编写正确的grok过滤器。我尝试了以下,
match => {"消息" =>" [%{TIMESTAMP_ISO8601:时间戳}] [%{LOGLEVEL:LOGLEVEL}] [%{主机名:MACHINENAME}]"}
HOSTNAME无效。您能否建议使用哪个关键字。
答案 0 :(得分:0)
Vinod,您可能想尝试使用\,
跳过[,]括号\[%{TIMESTAMP_ISO8601:TimeStamp}\]\[%{LOGLEVEL:logLevel}\]\[%{HOSTNAME:machineName}\]
应该有效
Nikhil
答案 1 :(得分:0)
此外,如果你得到类似[C:0:O:1]的内容,那么你可以用
来识别\[%{GREEDYDATA:machineName}\]
但是如果你能提供更多的日志行样本,那将有助于建议正确的模式
Nikhil