我陷入困境。 这是我想在Kibana中使用的代码:
"1.1.1.1" "NULL-AUTH-USER" "21/Jul/2010:20:22:31 +0100" "GET /html/some_file.txt HTTP/1.1" 200 674347
但是我无法通过“ NULL-AUTH-USER”。 IP地址已处理,这很好,但是之后我被卡住了。 grok的代码无法返回我想要的内容:
%{IP:ipadd}%{WORD:notauusr}
目标是拥有这样的东西:
IP-address user date&time methode uri returncode size
谢谢您的帮助!
答案 0 :(得分:0)
您可以使用:
"%{IPORHOST:clientip}" "%{USER}" "%{HTTPDATE:timestamp}" "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)
那是COMMONAPACHELOG的修改版本。
结帐:https://www.elastic.co/guide/en/logstash/current/config-examples.html和https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/httpd
还有https://grokdebug.herokuapp.com,它是调试grok模式的好工具。