我试图过滤掉在grok的帮助下收到的日志 . 以下是示例日志
INFO | jvm 1 | main | 2013/04/05 01:08:47.048 | [m[32mINFO [TaskExecutor-master-2443-ProcessTask [31111111112]] [b2cConfirmationAction] CRON JOB ID : 101AA1C, ACTION : ConfirmationAction , CUSTOMER ID : 000001111111 , EMAIL ADDRESS : abc@gmail.com , SCHEDULE : Every 1 week , MESSAGE : Execution started for action ConfirmationAction
我在更新logstash conf文件之前使用grok调试器(https://grokdebug.herokuapp.com/)进行测试 . 以下是我的过滤器代码:
%{LOGLEVEL:level}%{GREEDYDATA:greedydata}%{SPACE}%{YEAR}[/-]%{MONTHNUM}[/-]%{MONTHDAY}%{SPACE}%{HOUR}:%{MINUTE}:%{SECOND}%{GREEDYDATA:gd} \[(?:%{WORD:action})\]%{GREEDYDATA:cronjobresult}
在这里,我正在冒险
"level": [ [ "INFO" ] ], "greedydata": [ [ " | jvm 1 | main | 20" ] ], "SPACE": [ [ "", " " ] ], "YEAR": [ [ "13" ] ], "MONTHNUM": [ [ "04" ] ], "MONTHDAY": [ [ "05" ] ], "HOUR": [ [ "01" ] ], "MINUTE": [ [ "08" ] ], "SECOND": [ [ "47.048" ] ], "gd": [ [ " | \u001b[m\u001b[32mINFO [TaskExecutor-master-2443-ProcessTask [31111111112]]" ] ], "action": [ [ "b2cConfirmationAction" ] ], "cronjobresult": [ [ " CRON JOB ID : 101AA4A , ACTION : ConfirmationAction , CUSTOMER ID : 000001111111 , EMAIL ADDRESS : abc@gmail.com , SCHEDULE : Every 1 week , MESSAGE : Execution started for action ConfirmationAction" ] ] }
我的要求是获得cronjobresult下的值,如cron job iD customer id,具有不同的独立字段,以便我可以在kibana中使用这些值 . 现在我无法得到它 . 此外,我已经两次使用greedyData,这个日志的更好的方法将是可观的 .
1 回答
您可以进一步扩展过滤器并明确匹配 . 例如,要匹配cron作业ID,您可以在过滤器中编写
CRON JOB ID : %{BASE16NUM:Cron_job_id}.如果您不需要日志中的任何数据,那么您只需编写
.*而不是GREEDYDATA,它将被跳过 .这是您日志的完整过滤器,
Output:
请注意我使用了
EMAILADDRESS模式,https://github.com/rgevaert/grok-patterns/blob/master/grok.d/postfix_patterns如果你想在https://grokdebug.herokuapp.com上测试它,你需要添加,
通过检查
add custom patterns作为cusomtom模式