logstash - 为具有不同结构的文件查找 grok 模式
问题描述
我有一个日志文件,其中并非所有行的格式都相同。如何为此类文件找到正确的 grok 模式。
[15:37:20:030|1] [TdmUtil.c: 1534:fnTDM_LoadLocalFoo] F_LAA : 1
[15:37:20:032|1] [TdmUtil.c: 1281:fnTDM_GetPreDef] pdeGetData : MAX_IRAT_NBR_PER_SERVED_CELL_SYS = 256
[15:37:20:091|1] [TdmUtil.c: 293:fnTDM_PrtIndexKey] fnTDM_GetIndexKeyNum Error!!
这样,很少有行采用 line1 的格式,很少有行采用 line2 的格式,依此类推。我可以为每一行写一个 grok 模式,但我不知道如何组合它们。有没有办法解决这个问题?
解决方案
我已经为你准备了一些东西。但在与您分享之前,我建议您使用在线 GROK 调试器来编写您的 GROK 模式(如果您在开发工具 -> GROK 调试器下使用它,则 Kibana 内部有 1 个)。您还应该查看可用的 GROK 模式。
我看到所有 3 行都有相同的前缀,[time|num] [class: line number: function name] log text我为此创建了一个 GROK 模式。如果您想进一步分解,log text您可以通过取消注释该字段的第二场比赛text并提供所需的 grok 模式来做到这一点。
注意:您可以根据需要添加更多match部分,但请注意它会尝试在所有部分上运行匹配。尝试使用if else语句来浏览高复杂性 - 通常不需要它。
input {
file {
path => "C:/work/elastic/logstash-6.5.0/config/test.txt"
start_position => "beginning"
codec => multiline {
pattern => "^\[%{TIME}\|"
negate => true
what => "previous"
}
type => "whatever"
}
}
filter {
if [type] == "whatever" {
grok {
break_on_match => false
match => { "message" => "^\[%{TIME:time}\|%{NUMBER:num}\]%{SPACE}\[%{DATA:class}:%{SPACE}%{NUMBER:linenumber:int}:%{DATA:function}\]%{GREEDYDATA:text}$"}
#match => { "text" => ""}
}
}
}
output {
elasticsearch {
hosts => ["http://localhost:9200"]
index => "test"
}
}
上述配置文件将在 Kibana 中为您提供以下字段:
推荐阅读
- linq-to-sql - Linq to entity 添加 Where() 子句会中断查询
- maven - 我怎样才能在不同的计算资源上传播surefire junit测试
- sql - 如何在带有 MIN 的 SELECT 中包含第三列
- python - Numpy 数组 - 替换元素
- mongodb - 在 MongDB MapReduce 之后过滤 ResultSet
- ruby-on-rails - 全新的 Rails 应用程序,无法生成脚手架
- java - Joobie:如何正确地对根据 MediaType 返回不同内容的路由进行单元测试?
- spring-boot - 如何在 Spring OAuth 中进行相对重定向到授权端点?
- kubernetes - 失败的 K8s rabbitmq-peer-discovery-k8s 集群
- python - 如何在循环内将随机浮点值附加到数组中