Logstash grok過濾器自定義日期

Question

我正在爲來自Synology框的syslog消息編寫logstash grok過濾器。示例消息看起來像這樣。

Jun 3 09:39:29 diskstation Connection user:\tUser [user] logged in from [192.168.1.121] via [DSM]. 

我很難過濾出奇怪格式的時間戳。有誰能幫我一下嗎？這是我迄今爲止所擁有的。

if [type] == "syslog" and [message] =~ "diskstation" { 
    grok { 
     match => [ "message", "%{HOSTNAME:hostname} %{WORD:program} %{GREEDYDATA:syslog_message}" ] 
    } 
    } 

正如你可能可以告訴我還沒有處理時間戳。一些幫助將不勝感激。

Answer 1

以下配置可以幫助您解析日誌。

grok { 
    match => [ "message", "%{SYSLOGTIMESTAMP:date} %{HOSTNAME:hostname} %{WORD:program} %{GREEDYDATA:syslog_message}" ] 
} 

您可以在here試試你的日誌和模式，並在here是指所有提供的模式。