为什么我的代码在 grok 调试器中不起作用
Why my code doesn't work in grok debugger
我是这个站点的新手,我开始学习如何使用 logstash、Grok 调试器 return:此日志行的编译错误:
[29/02/2020 07:34:27.805] - sc879537 - 10.107.192.25 - 12 - Transaction 2659 COMPLETED 6849 ms wait time 3597
这是我的代码:
filter {
grok {
match => {
"message" => ["\[%{LOGDATE:logdate}\] \- %{USERNAME:user} \- %{IP:clientip} \- %{NUMBER} \- %{WORD} %{NUMBER:exectime} %{WORD} %{WORD} %{WORD} %{NUMBER:waittime}"]
}
}
date {
match => [ "logdate", "MM/dd/YYYY HH:mm:ss.SSS" ]
}
}
请在下方找到与您的日志模式匹配的 grok 模式。
\[%{DATESTAMP:logdate}\] \- %{USERNAME:user} \- %{IPV4:clientip} \- %{NUMBER} \- %{WORD} %{NUMBER:exectime} %{WORD} %{NUMBER:time} %{GREEDYDATA:data} %{NUMBER:waittime}
我已经使用 grok debugger 验证了 grok 模式。请在下面找到 grok 模式的输出。
我是这个站点的新手,我开始学习如何使用 logstash、Grok 调试器 return:此日志行的编译错误:
[29/02/2020 07:34:27.805] - sc879537 - 10.107.192.25 - 12 - Transaction 2659 COMPLETED 6849 ms wait time 3597
这是我的代码:
filter {
grok {
match => {
"message" => ["\[%{LOGDATE:logdate}\] \- %{USERNAME:user} \- %{IP:clientip} \- %{NUMBER} \- %{WORD} %{NUMBER:exectime} %{WORD} %{WORD} %{WORD} %{NUMBER:waittime}"]
}
}
date {
match => [ "logdate", "MM/dd/YYYY HH:mm:ss.SSS" ]
}
}
请在下方找到与您的日志模式匹配的 grok 模式。
\[%{DATESTAMP:logdate}\] \- %{USERNAME:user} \- %{IPV4:clientip} \- %{NUMBER} \- %{WORD} %{NUMBER:exectime} %{WORD} %{NUMBER:time} %{GREEDYDATA:data} %{NUMBER:waittime}
我已经使用 grok debugger 验证了 grok 模式。请在下面找到 grok 模式的输出。