我應該總是儘量避免grok解析錯誤？

Question

我有我的日誌，我匹配的這樣一個IP地址的領域：

grok { 
    match => [ "field1", "(?:(?<field2>%{IP})|(%{IP}),\+)"] 
} 

有時這FIELD1爲空，因此FIELD2從來沒有在文檔被創建。

這很好，因爲我不希望添加該字段，除非它是有效的IP地址。

但是，如果發生這種情況，文檔標記爲_grokparsefailure。這不好嗎？這是否意味着我做錯了什麼，我應該避免_grokparsefailures。

Answer 1

全部_grokparsefailure是，是維護者的麪包屑，表示某些grok規則可能需要更新。在性能方面，對於與此相似的規則來說它沒有意義。如果你真的不關心grok語句中的錯誤，你可以告訴它以其他方式標記它（tag_on_failure => ["something"]）。