在 grok 中去掉冒号
getting rid of colon in grok
基本上我是在设置 Elasticsearch-Logstash-Kibana (elk) 堆栈来监控系统日志。现在我必须为 logstash 编写 grok 模式。
这是我的日志示例:
May 8 15:14:50 tileserver systemd[25780]: Startup finished in 29ms.
这就是我的模式(至今):
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{SYSLOGPROG:program}
通常我也使用 %{DATA:text} 作为消息,但它只适用于下面的 link。
我正在使用 Test grok patterns 来测试我的模式,这 3 个工作正常,但是消息前面有冒号(来自 PID 之后),我不希望它出现在那里。
我该如何摆脱它?
试试这个:
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{GREEDYDATA:syslog_process}(:) %{GREEDYDATA:message}
基本上我是在设置 Elasticsearch-Logstash-Kibana (elk) 堆栈来监控系统日志。现在我必须为 logstash 编写 grok 模式。
这是我的日志示例:
May 8 15:14:50 tileserver systemd[25780]: Startup finished in 29ms.
这就是我的模式(至今):
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{SYSLOGPROG:program}
通常我也使用 %{DATA:text} 作为消息,但它只适用于下面的 link。
我正在使用 Test grok patterns 来测试我的模式,这 3 个工作正常,但是消息前面有冒号(来自 PID 之后),我不希望它出现在那里。 我该如何摆脱它?
试试这个:
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{GREEDYDATA:syslog_process}(:) %{GREEDYDATA:message}