我正在尝试设置logstash以自定义格式解析apache日志。
此grok过滤器有效,但%{URIHOST}不会进入导入的数据。
grok {
match => { "message" => "%{URIHOST} %{COMBINEDAPACHELOG}" }
}
日志文件的原始行如下所示:
yards-dev.oursite.org:80 192.168.1.114 - - [15/Apr/2015:10:49:28 -0400] "GET /about-us/chapters/dc HTTP/1.0" 200 8463 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"
我正在尝试将'yards-dev.oursite.org'捕获到索引字段中。
答案 0 :(得分:0)
添加:fieldname working
match => { "message" => "%{URIHOST:hostname} %{COMBINEDAPACHELOG}" }
我使用:hostname因为当我尝试使用:主机已经有一个映射但在我的数据中以0.0.0.0的形式出现时,我的捕获值被附加到无用值。
有一些无用的值,比如host = 0.0.0.0和永远不会填充的值,我想删除,我想这是下一步要弄清楚的。