如何从apache登录到事件中丢失字段

时间:2015-04-15 17:23:22

标签: logstash logstash-grok logstash-configuration

我正在尝试设置logstash以自定义格式解析apache日志。

此grok过滤器有效,但%{URIHOST}不会进入导入的数据。

grok {
    match => { "message" => "%{URIHOST} %{COMBINEDAPACHELOG}" }
}

日志文件的原始行如下所示:

yards-dev.oursite.org:80 192.168.1.114 - - [15/Apr/2015:10:49:28 -0400] "GET /about-us/chapters/dc HTTP/1.0" 200 8463 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"

我正在尝试将'yards-dev.oursite.org'捕获到索引字段中。

1 个答案:

答案 0 :(得分:0)

添加:fieldname working

 match => { "message" => "%{URIHOST:hostname} %{COMBINEDAPACHELOG}" }

我使用:hostname因为当我尝试使用:主机已经有一个映射但在我的数据中以0.0.0.0的形式出现时,我的捕获值被附加到无用值。

有一些无用的值,比如host = 0.0.0.0和永远不会填充的值,我想删除,我想这是下一步要弄清楚的。