Запись шаблона Грока для разделения пар ключ-значение

Question

Запись шаблона Грока для разделения пар ключ-значение

Это мой первый опыт использования grok и asticsearch. Я пытаюсь написать файл grok, чтобы разобрать следующую строку.

2017-07-25 10:48:23,477 [[api-my-app-v1-20.0.0].apiHttpListenerConfig.worker.58] INFO  esb.api-my-app-v1.get-blah.http.response - transactionID=f61b8053-70d2-11e7-b274-3639cc5335d0 creationTime=2017-07-25T10:48:23.254+10:00 txnState=END timeTaken=11

Пока я написал этот грок...

%{TIMESTAMP_ISO8601:timestamp}\s+%{DATA:thread}\s+%{LOGLEVEL:loglevel}\s+%{JAVACLASS:category}\s+-\s+%{GREEDYDATA:msgbody}

Это возвращает мне это....

{
  "timestamp": [
    [
      "2017-07-25 10:48:23,477"
    ]
  ],
  "YEAR": [
    [
      "2017"
    ]
  ],
  "MONTHNUM": [
    [
      "07"
    ]
  ],
  "MONTHDAY": [
    [
      "25"
    ]
  ],
  "HOUR": [
    [
      "10",
      null
    ]
  ],
  "MINUTE": [
    [
      "48",
      null
    ]
  ],
  "SECOND": [
    [
      "23,477"
    ]
  ],
  "ISO8601_TIMEZONE": [
    [
      null
    ]
  ],
  "thread": [
    [
      "[[api-my-app-v1-20.0.0].apiHttpListenerConfig.worker.58]"
    ]
  ],
  "loglevel": [
    [
      "INFO"
    ]
  ],
  "category": [
    [
      "esb.api-my-app-v1.get-blah.http.response"
    ]
  ],
  "msgbody": [
    [
      "transactionID=f61b8053-70d2-11e7-b274-3639cc5335d0 creationTime=2017-07-25T10:48:23.254+10:00 txnState=END timeTaken=11"
    ]
  ]
}

Это почти то, что я хочу. Как я могу разделить msgbody из моего текущего результата на пары ключ-значение?

Спасибо

5

logstash logstash-grok

Источник

user1600419 25 июл '17 в 05:06

1 ответ

Решение

Другие вопросы по тегам logstash logstash-grok

user6113627 25 июл '17 в 08:47 2017-07-25 08:47 · Accepted Answer · 2017-07-25 08:47

С фильтром kv:

kv { 
   source => "msgbody" 
}

вы будете иметь значения пары ключей из msgbody в полях в вашем результате. Кроме того, вам не придется менять ваш шаблон Grok, если ключи меняются.

5

Источник

user6113627 25 июл '17 в 08:47