我们让Logstash接收syslog文件,然后将它们存储在Elasticsearch索引中。
我们正在尝试使用Kibana查询此索引以查找某些特定信息,但我们无法使正则表达式查询起作用。
我们尝试在其中搜索的日志日期如下。
< 14> 1 2018-05-02T13:53:48.079000Z snrvro04 vco - - [liagent @ 6876 anctoken =""成分=" WorkflowManagementServiceImpl"上下文="" 文件路径=" /var/log/vco/app-server/integration-server.log" 实例id =" 6a6dbf1d-2f72-45db-ab57-04b84aa97b90" log_message ="工作流程'获取ID 工作流/ 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'更新(与 含量)&#34。优先级=" INFO"产物=" VRO"令牌=""用户="" wfid ="" wfname ="" wfstack =""] 2018-05-02 13:53:48.079 + 0000 vco: [成分=" WorkflowManagementServiceImpl"优先级=" INFO" 螺纹=" HTTPS的JSSE-NIO-0.0.0.0-8281-EXEC-7"用户=""上下文="" 令牌="" wfid ="" wfname ="" anctoken ="" wfstack ="" instanceid =" 6a6dbf1d-2f72-45db-ab57-04b84aa97b90"]工作流程'获取ID 工作流/ 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'更新(含内容)。
我们要搜索的信息是:
成分=" WorkflowManagementServiceImpl"
更重要的是:
工作流程'获取工作流程ID / 8f59ca66-7472-4efa-ac5f-dfc34059c5f1'
最高标准应始终相同,但工作流程名称和ID将更改。在这段文字中保持不变的唯一部分是工作流' 和最终'
我们目前正在针对工作流程名称和ID进行查询,以查看我们是否可以匹配,但我们的查询不会返回任何结果。
我们目前拥有的正则表达式如下,我们尝试了许多替代方案。
/(?<=Workflow '.*\/)(.*')/
如果我们运行搜索 *工作流程* (通配符,没有空格) - 它会按预期返回包含单词Workflow的所有内容。
如果我们运行搜索工作流程,则无法获得任何结果。
如果有人能指出我们出错的地方,或者感到困惑,那就太棒了!
由于
答案 0 :(得分:0)
我们通过在Logstash中使用Grok过滤器在数据到达Elasticsearch索引之前组织/清理数据来解决这个问题,然后我们就能够在Kibana中成功搜索。