用Grok表达式解析日志数据
我刚刚开始将grok用于logstash,我正尝试使用grok过滤器解析下面的日志文件行。
10.210.57.60 0x756682x2 connectadmin [12 / May / 2020:00:00:00 +0530]“ GET / rest / auth / 1 / session HTTP / 1.1” 200286456“-”“ Jersey / 2.11 (HttpUrlConnection 1.8.0_171)“” 1twyrho“
我对: IP:10.210.57.60 // 用户:connectadmin // 时间戳记:12 / May / 2020:00:00:00 +0530 // 网址:/ rest / auth / 1 / session // 响应码:200
我目前对grok表达式感到困惑:%{IPV4:client_ip}%{WORD:skip_me1}%{USERNAME} 通过它我可以获得IP和用户名。你能帮我继续吗?
谢谢..
1 个答案:
答案 0 :(得分:0)
我已使用grok调试器https://grokdebug.herokuapp.com/获得所需的输出。 以下是符合您要求的grok模式:
%{IPV4:IP} %{GREEDYDATA:girbish} %{USERNAME:user} \[%{HTTPDATE:timestamp}\] "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{GREEDYDATA:girbish}
此外,以下是使用grok模式后最终输出的屏幕截图
注意:您可以使用logstash的突变过滤器删除不必要的字段。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?