Шаблон Grok для logstash / эластичный поиск

Question

Шаблон Grok для logstash / эластичный поиск

У меня есть следующий файл журнала (несколько строк)

[25/Nov/2015:15:25:06 +0000] 28minutes.asf-prod.arte.tv GET /profiles/asf/themes/asf/css/grab.png http_code=302 query= uid=0 php_pid=1634 php_time=0.047 queue_wait=0 request_id="v-b52d24dc-9388-11e5-bf44-22000a5ba31e"
[25/Nov/2015:15:25:13 +0000] karambolage.asf-prod.arte.tv GET /fr/la-devinette-194-karambolage http_code=200 query= uid=0 php_pid=1603 php_time=1.113 queue_wait=0 request_id="v-b865c0c8-9388-11e5-9210-22000a5ba31e"

И следующий фильтр для Грок

\[%{HTTPDATE:timestamp}\] %{URIHOST:acquia_vhost} %{WORD:verb} %{NOTSPACE:request} http_code=%{NUMBER:response} query=(%{USER:query})? uid=%{NUMBER:uid} php_pid=%{NUMBER:php_pid} php_time=%{NUMBER:php_time} queue_wait=%{NUMBER:queue_wait} request_id=%{QUOTEDSTRING:request_id}\$

Я тестирую с http://grokconstructor.appspot.com/do/match и получаю "несоответствие".

Но я не вижу никаких проблем с моим шаблоном:(Спасибо за твою помощь

С наилучшими пожеланиями,

0

elasticsearch logstash grok

Источник

user1993489 25 ноя '15 в 15:28

2 ответа

Решение

"\$" будет означать знак доллара в конце вашего шаблона. У тебя нет такой вещи.

В общем, создавайте свои шаблоны по одному элементу за раз. Таким образом, когда они ломаются, вы знаете, где это было.

1

Источник

user677561 25 ноя '15 в 16:02

Другие вопросы по тегам elasticsearch logstash grok

user1993489 15 янв '16 в 09:40 2016-01-15 09:40 · Accepted Answer · 2016-01-15 09:40

Вот рабочий конф

grok {
      match => { "message" => "\[%{HTTPDATE:timestamp}\] %{URIHOST:acquia_vhost} %{WORD:verb} %{NOTSPACE:request} http_code=%{NUMBER:response} query=(%{NOTSPACE:query})? uid=%{NUMBER:uid} php_pid=%{NUMBER:php_pid} php_time=%{NUMBER:php_time} queue_wait=%{NUMBER:queue_wait} request_id=%{QUOTEDSTRING:request_id}"}
    }

0

Источник

user1993489 15 янв '16 в 09:40