錯誤grok模式

我想解析這個日誌，並且只返回兩個元素（2016-05-26T10：40：39,513 babacar）。錯誤grok模式

我的日誌：

2016-05-26T10：40：39513 INFO [00000003]巴巴卡爾 - 注：無法開放SASUSER.PROFILE。 WORK.PROFILE將被打開。

但我的過濾器不起作用。請幫助

logstash -e 'input { stdin { } } filter { grok{ match=>{"message"=>"%{TIMESTAMP_ISO8601:datecreer} %{WORD}"} } } output { stdout { codec => rubydebug } }'

來源

2016-09-28 baba

嘗試%{TIMESTAMP_ISO8601:datecreer} %{WORD} \[%{INT}\] %{DATA:app_name} - %{GREEDYDATA}。你可以在http://grokconstructor.appspot.com

來源

2016-09-28 18:41:46 fylie

測試你的grok模式謝謝煎餅。我想回到第一條和最後一條線。 2016-05-26T10：40：39,513信息[00000003] ngoalfe - 注意：無法打開SASUSER.PROFILE。 WORK.PROFILE將被打開。 2016-05-26T10：40：39,513 INFO [00000003] ngoalfe - 注意：所有配置文件更改將在會話結束時丟失。 2016-05-26T10：40：39,513 INFO [00000003] ngoalfe - 2016-05-26T10：40：39,605 INFO [00000006] ngoalfe - 注意：版權所有（c）2002-2010，SAS Institute Inc.，Cary，NC ，美國。我可以用grok過濾器做到嗎？ – baba

已編輯，所以你只能得到兩個元素。 – fylie

回答

相關問題