神交模式工作在神交調試，但不是在logstash配置

Question

我的日誌：

(49087) Login incorrect (eap_peap: TLS Alert write:fatal:decode error): [johndoe] (from client WIFI-Control-Dev port 13 cli bb-41-e2-1c-12-12) 

的神交模式我用：

\(%{NOTSPACE:removed}\) %{DATA:AUTHWAY} (?:\(%{DATA:radius_reason}\))?: (?:\[%{DATA:username}\]) \(from client %{NOTSPACE:radius_client} port %{INT:radius_port}(?: cli %{NOTSPACE:radius_cli})?(?: via %{DATA:radius_via})?\) 

此相匹配，並且在神交調試器完美的作品，但是當我使用在我的logstash配置中相同的模式，它不起作用。

的AUTHWAY場即將爲：

"AUTHWAY" => "Login incorrect (eap: Failed continuing EAP PEAP (25) session. EAP sub-module failed)", 

我需要的是Login incorrect和(eap: Failed continuing EAP PEAP (25) session. EAP sub-module failed)作爲單獨的領域。

任何人都可以說有什麼區別，我怎樣才能讓grok模式在logstash配置中工作。

Answer 1

我自己找到了答案。所以我發佈它，因爲它可以幫助任何人。

這是我使用的grok模式，它可以在grok調試器和服務器中使用。

\(%{DATA:removed}\) %{DATA:AUTHWAY}(?::)? (?:\((.*?)\):)?%{SPACE}\[%{DATA:username}\] \(from client %{NOTSPACE:radius_client} port %{INT:radius_port}(?: cli %{NOTSPACE:radius_cli})?(?: via %{DATA:radius_via})?\) 

這裏我用(?::)? (?:\((.*?)\):)?%{SPACE}代替(?:\(%{DATA:radius_reason}\))?: