grok過濾模式問題

Question

我嘗試使用grok過濾器匹配日誌文件的日誌級別，但仍得到_grokparsefailure。問題可能是[和日誌級別之間的空間。日誌的

例如：2017年4月21日10：12：03004 [INFO]消息

我的過濾器：

filter { 
    grok { 
     match => { 
      "log.level" => "\[ %{LOGLEVEL:loglevel}\]" 
     } 
    } 
} 

我也嘗試沒有成功一些其他的解決方案：

"\[ *%{LOGLEVEL:loglevel}\]" 
"\[%{SPACE}%{LOGLEVEL:loglevel}\]" 

在此先感謝您的幫助

Answer 1

點是默認字段是消息，你需要匹配所有字符串

filter { 
    grok { 
     match => { 
      "message" => "%{TIMESTAMP_ISO8601:logDate} \[ %{LOGLEVEL:loglevel}\]%{GREEDYDATA:messages}" 
     } 
    } 
}