那些遇到过的问题

骗子不读连字符

Vic*_*cky 2 elasticsearch logstash kibana logstash-grok

这是我的骗子模式

2017年9月25日08:58:17,861 p = 14774 u = ec2用户| 14774 1506329897.86160:检查any_errors_fatal

我正在尝试读取用户,但是只给出ec2,没有给出完整的单词

抱歉,我是grok过滤器的新手

我目前的模式:

%{TIMESTAMP_ISO8601:timestamp} p =%{WORD:process_id} u =%{WORD:user_id}

电流输出

...
...
...
  "process_id": [
    [
      "14774"
    ]
  ],
  "user_id": [
    [
      "ec2"
    ]
  ]
}
Run Code Online (Sandbox Code Playgroud)

Vor*_*ung 5

WORD定义为 "\b\w+\b"

参见https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/grok-patterns

  • \ b是单词边界

  • \ w匹配单个字母数字字符(字母字符或十进制数字)或“ _”

  • +表示任意数量的前一个字符。因此\ w +表示任意数量的字符

请注意\ w不匹配-

因此,使其工作而不是使用WORD 

(?<user_id>\b[\w\-]+\b)
Run Code Online (Sandbox Code Playgroud)

这不使用预定义的grok模式,而是使用“原始”正则表达式

  • 使用(?....)代替%{,因为它是“原始”正则表达式
  • \- 表示文字-符号
  • []表示字符类。因此[\ w-]将匹配\ w做的所有事情,以及-

归档时间:

查看次数:

2567 次

最近记录:

6 年,7 月 前
相关归档
elasticsearch将对象插入索引 17
Elasticsearch:在使用html_strip过滤器无法正常工作的索引文档之前剥离HTML标记 17
如何打印出elasticsearch创建的倒排索引? 10
Elasticsearch 中多字段条件聚合 6
在ElasticSearch中获取SearchResponse的结果 6
ElasticSearch:何时使用多字段 6
带连字符和小写过滤器的 Elasticsearch 通配符查询 3
Elasticsearch 索引在磁盘上占用的大小比它们显示的要多 3
如何在Elastic Search中对该字段进行排序时确保首先显示空字段或缺少字段 1
Elasticsearch 2.3使用PHP LIbrary通过查询删除类型中的所有文档 0
难疑归档
Java是"通过引用传递"还是"传递价值"? 6270
关闭/隐藏Android软键盘 3641
Docker与虚拟机有何不同? 3523
"git add -A"和"git add"之间的区别. 2788
在Git中只提交文件的一部分 2629
Dockerfile中的`COPY`和`ADD`命令有什么区别? 1991
.gitignore和.gitkeep有什么区别? 1776
喜欢构成而不是继承? 1538
如何调试Node.js应用程序? 1531
如何使用jQuery按名称选择元素? 1160