神交模式

我有以下的日誌文件（多線）神交模式

[25/Nov/2015:15:25:06 +0000] 28minutes.asf-prod.arte.tv GET /profiles/asf/themes/asf/css/grab.png http_code=302 query= uid=0 php_pid=1634 php_time=0.047 queue_wait=0 request_id="v-b52d24dc-9388-11e5-bf44-22000a5ba31e" 
[25/Nov/2015:15:25:13 +0000] karambolage.asf-prod.arte.tv GET /fr/la-devinette-194-karambolage http_code=200 query= uid=0 php_pid=1603 php_time=1.113 queue_wait=0 request_id="v-b865c0c8-9388-11e5-9210-22000a5ba31e"

而對於神交

\[%{HTTPDATE:timestamp}\] %{URIHOST:acquia_vhost} %{WORD:verb} %{NOTSPACE:request} http_code=%{NUMBER:response} query=(%{USER:query})? uid=%{NUMBER:uid} php_pid=%{NUMBER:php_pid} php_time=%{NUMBER:php_time} queue_wait=%{NUMBER:queue_wait} request_id=%{QUOTEDSTRING:request_id}\$

我與http://grokconstructor.appspot.com/do/match#result測試下面的過濾器，我得到一個「非匹配」。

但我沒有看到我的模式任何問題:( 感謝您的HELLP

最好的問候，

來源

2015-11-25 glmrenard

這裏有一個工作的conf

grok { 
     match => { "message" => "\[%{HTTPDATE:timestamp}\] %{URIHOST:acquia_vhost} %{WORD:verb} %{NOTSPACE:request} http_code=%{NUMBER:response} query=(%{NOTSPACE:query})? uid=%{NUMBER:uid} php_pid=%{NUMBER:php_pid} php_time=%{NUMBER:php_time} queue_wait=%{NUMBER:queue_wait} request_id=%{QUOTEDSTRING:request_id}"} 
    }

來源

2016-01-15 09:40:30 glmrenard

「\ $」將意味着在你的模式結束一個美元符號。您有沒有這樣的事情。

一般情況下，在同一時間建立你的模式的一個元素。這樣一來，當他們分手，你知道它在哪裏。

來源

2015-11-25 16:02:46

謝謝阿蘭，我嘗試沒有，現在匹配。另一個問題是我正在檢查多行分析。現在都很好，謝謝:) – glmrenard

回答

相關問題