logstash - 同一个三十方设备输入不同日志时如何设置logstash conf
问题描述
当用户使用不同的网络命令时,三十方设备有不同的日志。例如:日志 A
Jun 2 16:45:49 host-A; rule='a', type='a', pattern='a', actions_taken='a', event_data='a'
日志b
Jun 2 16:52:19 host-A; event='bbb', user='sss', com='111'
当用户使用不同的命令时,它们没有相同的字段。
gork 不能只使用一种模式来解析日志。
如何设置 grok 来解决这个问题?
解决方案
使用 grok 解析分号之前的所有内容,然后使用 kv 过滤器解析其余部分。
推荐阅读
- c# - 有效地等待多条消息
- python - 在无法访问命令行的 Spyder 中使用 PYTHONPATH
- java - 保存未定义数量的用户输入
- javascript - Javascript:非线性范围滑块
- python - 如何在分组中创建自定义列,然后在熊猫中聚合
- java - 写入动态分区 Java-Spark
- java - Android Camera2 回调——图像似乎被裁剪
- android - 使用 react-native-video (Android) 在加载和视频播放之间反应原生黑屏一秒钟
- javascript - 我无法获取代码来检测链接的开头(www 或 https)
- apache - 没有反向代理的 Apache 负载均衡器