1. 首頁
  2. 問答
  3. 如何將這個GROK模式放到logstash.conf文件中?

如何將這個GROK模式放到logstash.conf文件中?

2017-05-12 12 views
0

我使用神交調試器for SAP日誌寫了一個神交模式,但我不知道在Logstash配置中使用它:如何將這個GROK模式放到logstash.conf文件中?

神交模式:

(?<AUDIt_LOG>[(0-9A-U]{0,4})(?<DATE>[0-9A-F]{8})%{INT:Log_Code}(?<Type>[a-zA-Z]{0,5})%{NOTSPACE:ServiceName} %{SPACE} %{NOTSPACE:Host} %{SPACE} %{WORD:Bank}&&%{WORD:BANK2}%{SPACE} %{WORD:USERNAME}

如何使用過濾器神交解析我的日誌消息?

來源

2017-05-12 Nikhil.J

回答

0

在logstash.conf文件

filter { 
    grok { 
     match => { 
      "message" => "([(0-9A-U]{0,4})([0-9A-F]{8})%{INT:Log_Code}([a-zA-Z]{0,5})%{NOTSPACE:ServiceName}%{SPACE}%{NOTSPACE:Host}%{SPACE}%{WORD:Bank}&&%{WORD:BANK2}%{SPACE}%{WORD:USERNAME}" 
     } 
    } 
}

this額外的解釋你的輸入插件和輸出插件之間添加此。

UPDATE:

有上神交模式的一些空間。

輸入

2AUK20170407183522001768800000D0itzpiascECCSERVICE SAPMSSY1 3001EDIN&&IDOC_INBOUND_ASYNCHRONOUS itzpiascs

輸出

ServiceName 0itzpiascECCSERVICE 
Log_Code 183522001768800000 
BANK2  IDOC_INBOUND_ASYNCHRONOUS 
USERNAME itzpiascs 
Bank  3001EDIN 
Host  SAPMSSY1

希望這有助於

來源

2017-05-12 09:53:13 berrytchaks

+0

否則,如果在[消息] 「2AU」{ 神交{ 匹配=> { 「消息」=> 「([(0-9A-U] {0,4})([0-9A-F] {8})%{INT:Log_Code}????([A-ZA-Z] {0,5} )%{NOTSPACE:ServiceName}%{SPACE}%{NOTSPACE:主持人}%{空格}%{WORD:銀行} &&%{WORD:BANK2}%{空格}%{WORD:USE RNAME}「 } } } –

+0

我試過這個,但它不工作。 –

+0

嗯,它不起作用,因爲你的grok模式與(?)有關,請參閱https://discuss.elastic.co/t/problem-with-config/902。我不知道你要做什麼,但請參考我所做的更新,如果你能提供一些示例日誌,那麼我將提供更多幫助 – berrytchaks

相關問題

 相關問題