瞭解grok-pattern爲高級IIS日誌配置LogStash

Question

我從正常的IIS日誌切換到高級IIS日誌，並且在將日誌條目正確解析到我的Elastic Search/Kibana安裝程序時遇到一些麻煩。

有問題的條目是cs_cookie條目。

該值的條目可以是這樣的：

".ASPXANONYMOUS=lCoa4IyW0AEkAAAAMWQzM2Y3YTktZTE4MC00N2Q0LWFjNzEtMmQ3NzFlODk2ZDA50; DNNPersonalization=<profile><item key=""Usability:UserMode9"" type=""System.String, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b766a5c561934e089""><string>VIEW</string></item></profile>" 

那麼它包含多個空格和引號。我用grok debugger但找不到解決方案，請告訴我。

Answer 1

要建立模式，請從左側開始，並在向右移動時檢查每個部分。

從％{GREEDYDATA：remaining}開始，它會將所有內容都匹配到稱爲「餘數」的字段中。

你的樣本串報價開始，所以補充說：

"%{GREEDYDATA:remainder} 

現在剩餘部分將不會有最初的報價了。

下一張看起來像一個鍵/值對用分號結束，因此補充說：

"%{NOTSPACE:key1}=%{NOTSPACE:value1}; %{GREEDYDATA:remainder} 

看什麼留在「剩女」顯示，在較高的水平，另一個關鍵/值對。您可以將其分開，或者添加更詳細的解析以從第二個值中獲取片段。由於您的示例實際上是兩個鍵/值對，所以您可以使用kv {}篩選器進行初始分割，然後根據需要對這些分割塊進行分割。{} {} {} {}}}。