2015-10-05 43 views
1

這間添加忽略Logstash神交模式是一個日誌行過濾一個相當長的日誌行,

2015-10-05 12:04:19.199 INFO 4808 --- [metrics-logger-reporter-2-thread-1] com.example.metrics      : type=TIMER, name=demo.ws.rest.controllers.ItemController.getAllItems, count=0, min=0.0, max=0.0, mean=0.0, stddev=0.0, median=0.0, p75=0.0, p95=0.0, p98=0.0, p99=0.0, p999=0.0, mean_rate=0.0, m1=0.0, m5=0.0, m15=0.0, rate_unit=events/second, duration_unit=milliseconds 

我努力學習神交,這是我迄今爲止

"message" => "%{TIMESTAMP_ISO8601:time}%{SPACE}%{WORD}%{SPACE}%{NUMBER}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{WORD}%{NOTSPACE}%{WORD:metrictype}%{NOTSPACE}%{SPACE}%{WORD:vardspirms}%{DATA:pirms}%{JAVAFILE:javafilename}%{NOTSPACE:peec}%{SPACE}%{WORD}%{NOTSPACE}%{NUMBER:count}%{GREEDYDATA:debuginfo}" 

而且它看起來很長,效率低下,做法不好。我想知道,如何在Grok中添加忽略。所以我可以忽略INFO和類型之間的所有內容。對不起,我的英語,我不是母語的人。

+0

如果任何人都可以添加一個解釋比https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html更多的鏈接,將不勝感激:) – user2948875

回答

1

我發現了一個非常方便的解決方案。

kv { 
    source => "debuginfo" # new field generated by grok before 
    field_split => ", " # split fields by semicolon 
    } 

似乎將debuginfo中的所有內容都拆分得很好。