我有来自Cisco交换机的系统日志消息,如下所示
<189>11762: SW01: ]: Oct 19 15:46:15.776 GMT: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/5, changed state to up
我试图在SW01之后删除]并成功使用以下模式:
<%{NUMBER:message_type_id}>%{NUMBER:internal_id}:%{SPACE}%{SYSLOGHOST:origin_hostname}:%{SPACE}\]:%{SPACE}%{CISCOTIMESTAMP:cisco_timestamp}
此模式产生以下输出:
{
"internal_id": "11762",
"cisco_timestamp": "Oct 19 15:46:15.776",
"message_type_id": "189",
"origin_hostname": "SW01"
}
但是当我尝试在时间戳之后添加进一步的模式如下:
\%%{WORD:facility}-%{INT:severity}-%{WORD:mnemonic}: %{GREEDYDATA:msg}
GrokDebugger:
Provided Grok patterns do not match data in the input
如何将模式与上述系统日志消息匹配?
非常感谢任何帮助
谢谢
答案 0 :(得分:0)
使用此:
<%{NUMBER:message_type_id}>%{NUMBER:internal_id}:%{SPACE}%{SYSLOGHOST:origin_hostname}:%{SPACE}\]:%{SPACE}%{CISCOTIMESTAMP:cisco_timestamp}%{SPACE}%{DATA:gmt}:%{SPACE}%{PROG}%{WORD:facility}-%{INT:severity}-%{WORD:mnemonic}:%{SPACE}%{GREEDYDATA:msg}