我是elk的新手,我需要的模式可以找到“来自tomcat日志的事务跟踪值并创建单独的字段
示例日志如下所示......
2018-03-14 10:58:36,853 INFO so:165 - Female Value : 0.084370888769626617 for transactionId ABCsdf62969
2018-03-14 10:58:36,853 INFO so:165 - White Value : 0.90355902910232544 for transactionId ABtgF62969
2018-03-14 10:58:36,853 INFO so:165 - Black Value : 0.001742142834700644 for transactionId ZBCBfg2969
2018-03-14 10:58:36,853 INFO so:165 - Asian Value : 0.0055485325865447521 for transactionId TBCBF62969
2018-03-14 10:58:36,853 INFO so:165 - Hispanic Value : 0.079676181077957153 for transactionId L45BF62969
2018-03-14 10:58:36,853 INFO so:165 - Other Value : 0.0094741648063063622 for transactionId A56BF62969
答案 0 :(得分:1)
这不是一个问题/答案网站,您只需提问即使没有尝试。 Atleast首先尝试然后提出你得到的错误。
我认为你是这个平台的新手。我这次会给你模式,但首先要先了解它,然后自己动手制作未来模式。
对于您的情况,这将有效:
grok {
match => ["message", "%{TIMESTAMP_ISO8601:time} %{LOGLEVEL:log_level} %{GREEDYDATA:some_data} transactionId %{WORD:transaction_id}"]
}
努力工作。谢谢!!