Kibana / Elastic正则表达式查询返回无结果

时间:2018-05-02 15:06:41

标签: regex elasticsearch lucene logstash kibana

我们让Logstash接收syslog文件,然后将它们存储在Elasticsearch索引中。

我们正在尝试使用Kibana查询此索引以查找某些特定信息,但我们无法使正则表达式查询起作用。

我们尝试在其中搜索的日志日期如下。

  • 字段名称=消息
  • 字段类型=关键字
  

< 14> 1 2018-05-02T13:53:48.079000Z snrvro04 vco - - [liagent @ 6876   anctoken =""成分=" WorkflowManagementServiceImpl"上下文=""   文件路径=" /var/log/vco/app-server/integration-server.log"   实例id =" 6a6dbf1d-2f72-45db-ab57-04b84aa97b90"   log_message ="工作流程'获取ID   工作流/ 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'更新(与   含量)&#34。优先级=" INFO"产物=" VRO"令牌=""用户="" wfid =""   wfname ="" wfstack =""] 2018-05-02 13:53:48.079 + 0000 vco:   [成分=" WorkflowManagementServiceImpl"优先级=" INFO"   螺纹=" HTTPS的JSSE-NIO-0.0.0.0-8281-EXEC-7"用户=""上下文=""   令牌="" wfid ="" wfname ="" anctoken ="" wfstack =""   instanceid =" 6a6dbf1d-2f72-45db-ab57-04b84aa97b90"]工作流程'获取ID   工作流/ 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'更新(含内容)。

我们要搜索的信息是:

  

成分=" WorkflowManagementServiceImpl"

更重要的是:

  

工作流程'获取工作流程ID / 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'

最高标准应始终相同,但工作流程名称和ID将更改。在这段文字中保持不变的唯一部分是工作流' 和最终'

我们目前正在针对工作流程名称和ID进行查询,以查看我们是否可以匹配,但我们的查询不会返回任何结果。

我们目前拥有的正则表达式如下,我们尝试了许多替代方案。

/(?<=Workflow '.*\/)(.*')/

如果我们运行搜索 *工作流程* (通配符,没有空格) - 它会按预期返回包含单词Workflow的所有内容。

如果我们运行搜索工作流程,则无法获得任何结果。

如果有人能指出我们出错的地方,或者感到困惑,那就太棒了!

由于

1 个答案:

答案 0 :(得分:0)

我们通过在Logstash中使用Grok过滤器在数据到达Elasticsearch索引之前组织/清理数据来解决这个问题,然后我们就能够在Kibana中成功搜索。