Пользовательские шаблоны в logstash, которые прерывают компиляцию logstash

Question

Пользовательские шаблоны в logstash, которые прерывают компиляцию logstash

Я написал регулярное выражение для определенного формата даты в моем журнале (создал каталог./patterns и файл custom_time_pattern в нем):

Формат даты: 2013-11-05T12:05:46.123456+03:00

CUSTOMTIMESTAMP ([0-9]{4,4})\-([0-9]{2,2})\-([0-9]{2,2})([A-Za-z])(:?2[0123]|[01]?[0-9])(:?[0-5][0-9])(:?(:?[0-5]?[0-9]|60)(:?[:.,][0-9]+)?)(\+?([0-5][0-9]):?([0-9][0-9]))

И тогда я использовал его в своем фильтре:

filter {
    if [type] == "syslog" {
        grok {
            patterns_dir => ["./patterns"]
            remove_tag => ["_grokparsefailure"]
            match => {
                "message" => ["%{CUSTOMTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}", "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}", "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(\(etc/cron\.hourly\))(?:\[%{POSINT:syslog_pid}) %{GREEDYDATA:syslog_message}", "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\]) %{GREEDYDATA:syslog_message}"]
            }
   add_field => [ "received_at", "%{@timestamp}" ]
   add_field => [ "received_from", "%{host}" ]
        }
    }  
}

И logstash перестал работать (иначе он больше не компилируется).

Проблема в том, что при добавлении пользовательских шаблонов logstash перестает компилироваться полностью. И, опробовав несколько вариантов, я понял, что проблема в этой части: "%{CUSTOMTIMESTAMP:syslog_timestamp}". Но я не понимаю причину.

0

regex logstash logstash-grok logstash-configuration

Источник

user7919056 02 май '17 в 10:58

0 ответов

Другие вопросы по тегам regex logstash logstash-grok logstash-configuration