那些遇到过的问题

logstash _grokparsefailure问题

lep*_*lac 12 logstash logstash-grok

我遇到了grok解析的问题.在ElasticSearch/Kibana中,我匹配的行带有标签_grokparsefailure.

这是我的logstash配置:

input { 
    file { 
     type => logfile 
     path => ["/var/log/mylog.log"] 
    } 
  } 
filter { 
    if [type] == "logfile" 
    { 
      mutate {
      gsub => ["message","\"","'"]
      }  

    grok 
        { match => { "message" => "L %{DATE} - %{TIME}: " } } 
    } 
} 

output { 
   elasticsearch { host => localhost port => 9300 } 
}
Run Code Online (Sandbox Code Playgroud)

线条/图案我想要匹配:L 08/02/2014 - 22:55:49:日志文件已关闭:"已完成"

我在http://grokdebug.herokuapp.com/上尝试了调试器,它运行正常,我的模式匹配正确.

我想解析的行可能包含双引号,我读过可能存在grok处理和转义它们的问题.所以我试图改变以替换"与'以避免问题,但没有运气.

有任何想法吗 ?我该怎么调试呢?

谢谢

lep*_*lac 9

发现问题,它是双引号.

需要使用简单的引号来定义grok过滤器,并转义双引号.

match => { 'message' => 'L %{DATE:date} - %{TIME:time}: \"string_between_doublequotes\" '
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

26275 次

最近记录:

11 年,4 月 前
相关归档
如何在kibana仪表板上添加数字过滤器? 37
Kibana返回"连接失败" 35
Logstash有条件检查标签是否存在? 23
我可以从Logstash中删除消息字段吗? 18
使用Rails 4和结构化日志记录,如何将请求ID字段添加到日志中? 10
在elasticsearch中删除超过30天的文档 8
分析或未分析,选择什么 8
Docker syslog 驱动程序在logstash 中进行多行解析 5
了解logstash重试策略 5
意外字符('-'(代码 45)):预期的空格分隔根级值 0
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
在一行中捕获多个异常(块除外) 2521
如何将Git存储库克隆到特定文件夹中? 2083
如何在Git中完全替换另一个分支中的master分支? 1549
int32的最大值是多少? 1383
如何完全删除使用init创建的git存储库? 1358
vim"用sudo写"技巧如何工作? 1347
如何在Python中使用线程? 1210
如何重置MySQL中的AUTO_INCREMENT? 1174
如何在JavaScript中创建二维数组? 1081