嗨,我需要一些认真的帮助,
我有使用GROK解析的日志,但我遇到的问题是它们的内容或间距并不总是一致的,这里有一些混淆的例子。
title_access_log:ipaddress1, ipaddress2, ipaddress3 - - [14/Nov/2017:08:30:00 +0000] "GET /url HTTP/1.1" 200 198454 - 153261 - 0000fD5b5OSuS2C7ZdhgwqYufJk:GH809 url
title_access_log:ipaddress1, ipaddress2 - - [14/Nov/2017:08:30:00 +0000] "GET /url HTTP/1.1" 200 2326 - 20482 V22843489635e0e42e864037eccb8ad4857500ea 0000BDzHfUFhjJmcs9R4-CyglGS:GH806 url
title_access_log:ipaddress1, ipaddress2 - - [14/Nov/2017:08:30:00 +0000] "POST /url HTTP/1.1" 200 30031 - 17942 - 0000PjpQluI9BZ0w4EDB9o2fow-:GH809 url
我已经设法制作了一个GROK模式,可以提取包含2个IP的日志的时间和日期,但是我会进一步or或者尝试使用3 ips进行日志。
有没有人就如何解决这个问题提出任何建议。
我正在使用Graylog是我用来提取数据的所以我可以选择使用除GROK之外的其他格式。