如何将此 GROK 模式放入 logstash.conf 文件?
How to put this GROK pattern to logstash.conf file?
我使用 SAP 日志的 grok 调试器编写了一个 grok 模式,但我不知道如何在 Logstash 配置中使用它:
Grok 模式:
(?<AUDIt_LOG>[(0-9A-U]{0,4})(?<DATE>[0-9A-F]{8})%{INT:Log_Code}(?<Type>[a-zA-Z]{0,5})%{NOTSPACE:ServiceName} %{SPACE} %{NOTSPACE:Host} %{SPACE} %{WORD:Bank}&&%{WORD:BANK2}%{SPACE} %{WORD:USERNAME}
如何使用 grok 过滤器解析我的日志消息?
在 logstash.conf 文件中的输入插件和输出插件之间添加这个
filter {
grok {
match => {
"message" => "([(0-9A-U]{0,4})([0-9A-F]{8})%{INT:Log_Code}([a-zA-Z]{0,5})%{NOTSPACE:ServiceName}%{SPACE}%{NOTSPACE:Host}%{SPACE}%{WORD:Bank}&&%{WORD:BANK2}%{SPACE}%{WORD:USERNAME}"
}
}
}
阅读 this 以获得更多解释。
更新:
grok 模式有一些 space。
输入
2AUK20170407183522001768800000D0itzpiascECCSERVICE SAPMSSY1 3001EDIN&&IDOC_INBOUND_ASYNCHRONOUS itzpiascs
输出
ServiceName 0itzpiascECCSERVICE
Log_Code 183522001768800000
BANK2 IDOC_INBOUND_ASYNCHRONOUS
USERNAME itzpiascs
Bank 3001EDIN
Host SAPMSSY1
希望对您有所帮助
我使用 SAP 日志的 grok 调试器编写了一个 grok 模式,但我不知道如何在 Logstash 配置中使用它:
Grok 模式:
(?<AUDIt_LOG>[(0-9A-U]{0,4})(?<DATE>[0-9A-F]{8})%{INT:Log_Code}(?<Type>[a-zA-Z]{0,5})%{NOTSPACE:ServiceName} %{SPACE} %{NOTSPACE:Host} %{SPACE} %{WORD:Bank}&&%{WORD:BANK2}%{SPACE} %{WORD:USERNAME}
如何使用 grok 过滤器解析我的日志消息?
在 logstash.conf 文件中的输入插件和输出插件之间添加这个
filter {
grok {
match => {
"message" => "([(0-9A-U]{0,4})([0-9A-F]{8})%{INT:Log_Code}([a-zA-Z]{0,5})%{NOTSPACE:ServiceName}%{SPACE}%{NOTSPACE:Host}%{SPACE}%{WORD:Bank}&&%{WORD:BANK2}%{SPACE}%{WORD:USERNAME}"
}
}
}
阅读 this 以获得更多解释。
更新:
grok 模式有一些 space。
输入
2AUK20170407183522001768800000D0itzpiascECCSERVICE SAPMSSY1 3001EDIN&&IDOC_INBOUND_ASYNCHRONOUS itzpiascs
输出
ServiceName 0itzpiascECCSERVICE
Log_Code 183522001768800000
BANK2 IDOC_INBOUND_ASYNCHRONOUS
USERNAME itzpiascs
Bank 3001EDIN
Host SAPMSSY1
希望对您有所帮助