基本上,我正在建立一个Elasticsearch-Logstash-Kibana(elk)堆栈来监视syslog。现在,我必须为logstash编写grok模式。
这是我的日志示例:
May 8 15:14:50 tileserver systemd[25780]: Startup finished in 29ms.
这是我的模式(至今):
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{SYSLOGPROG:program}
通常,我也使用%{DATA:text}作为消息,但是它仅适用于下面的链接。
我正在使用Test grok patterns测试我的模式,这3个都可以正常工作,但是消息前面有冒号(从PID之后开始),我不希望它出现在这里。 我该如何摆脱呢?
答案 0 :(得分:0)
尝试一下:
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{GREEDYDATA:syslog_process}(:) %{GREEDYDATA:message}