Grok 问题 - 处理 "SOME-TEXT" 模式
Grok problem - handling "SOME-TEXT" pattern
我被 grok 困住了。
这是我想在 Kibana 中使用的代码:
"1.1.1.1" "NULL-AUTH-USER" "21/Jul/2010:20:22:31 +0100" "GET /html/some_file.txt HTTP/1.1" 200 674347
我怎么过不去"NULL-AUTH-USER"。 IP 地址已处理,这很好,但之后我被卡住了。
grok 的代码没有返回我想要的东西:
%{IP:ipadd}%{WORD:notauusr}
目标是拥有这样的东西:
IP-address user date&time methode uri returncode size
提前感谢您的帮助!
您可以使用:
"%{IPORHOST:clientip}" "%{USER}" "%{HTTPDATE:timestamp}" "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)
这是 COMMONAPACHELOG 的修改版本。
结帐:https://www.elastic.co/guide/en/logstash/current/config-examples.html and https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/httpd
还有 https://grokdebug.herokuapp.com 这是调试 grok 模式的好工具。
我被 grok 困住了。 这是我想在 Kibana 中使用的代码:
"1.1.1.1" "NULL-AUTH-USER" "21/Jul/2010:20:22:31 +0100" "GET /html/some_file.txt HTTP/1.1" 200 674347
我怎么过不去"NULL-AUTH-USER"。 IP 地址已处理,这很好,但之后我被卡住了。 grok 的代码没有返回我想要的东西:
%{IP:ipadd}%{WORD:notauusr}
目标是拥有这样的东西:
IP-address user date&time methode uri returncode size
提前感谢您的帮助!
您可以使用:
"%{IPORHOST:clientip}" "%{USER}" "%{HTTPDATE:timestamp}" "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)
这是 COMMONAPACHELOG 的修改版本。
结帐:https://www.elastic.co/guide/en/logstash/current/config-examples.html and https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/httpd
还有 https://grokdebug.herokuapp.com 这是调试 grok 模式的好工具。