神交{}圖案爲日期格式 「DD MMM YYYY HH：MM：SS」

Question

我的日誌文件的日期模式是

10 Sep 2014 07:16:33 

我已經添加在神交-圖案的定製模式

DATE_DMMY %{MONTHDAY} %{MONTH}/%{YEAR} 
DATE %{DATE_US}|%{DATE_EU}|%{DATE_YMD}|%{DATE_DMMY} 
DATESTAMP %{DATE} %{TIME} 

在我logstash.conf如下

filter { 

grok { 
patterns_dir => "/root/mypatterns" 
match => ["message", "%{DATESTAMP:LOG_DATE}"] 
} 

date { 
match => ["LOG_DATE", "dd MMM yyyy HH:mm:ss"] 
} 

} 

我使用它但是當我執行我得到

[0] "_grokparsefailure" 

請問我這裏有什麼問題。謝謝

Answer 1

您正在使用DATESTAMP，它以DATE開頭。

DATE是一個：

• DATE_US，這是2015年11月23日或2015年11月23日（不符合您的輸入）
• DATE_EU，這是23/11/2015或2015年11月23日（不符合您的輸入）
• DATE_YMD，這我沒有看到任何地方定義
• DATE_DMMY，這是「23二千○一十五分之一十一」（不符合您的輸入）

品牌與您的輸入相匹配的模式！此外，你很少需要一種模式來擴展其他4個這樣的其他模式。想象一下，正則表達式看起來像你正在應用到每一個經過的文檔。