我在测试环境中刚从5.2升级到5.6。
升级后,我的logstash过滤器停止工作。
我的日期为"Sep 26 11:01:41"且匹配
"match => [ "syslog_timestamp", "MMM dd HH:mm:ss" ]"
它抛出
JSON parse error, original data now in message field {:error=>#<LogStash::Json::ParserError: Unrecognized token 'Sep': was expecting ('true', 'false' or 'null')
答案 0 :(得分:1)
您的模式中有太多空格"MMM dd HH:mm:ss"应为"MMM dd HH:mm:ss"
"match => [ "syslog_timestamp", "MMM dd HH:mm:ss" ]"
^
|
here
答案 1 :(得分:0)
我在您的日志中发现了一个问题
input {
beats {
port => 5044
ssl => true
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt"
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
codec => json
}
}
尝试删除
codec => json
似乎输入数据不是json格式,只需删除它并尝试