用于自定义日志文本文件的Logstash grok模式

时间:2016-04-11 14:39:32

标签: logging logstash logstash-grok logstash-configuration

我是logstash的新手,我正在尝试为我的日志文件创建grok模式,这是文本类型。 记录在文件中的数据如下:

UPDATE mytab SET complex_col.r = (complex_col).r + 1;

我想以这样的方式理解它:它应该填充以下字段:

Timestamp: 24-03-2016 19:59:11
Message: Received request to get data
Title:GetData()
Machine: LTPN
----------------------------------------
Timestamp: 24-03-2016 20:15:34
Message: ERROR [08001] [Microsoft][ODBC SQL Server Driver][DBNETLIB]SQL Server does not exist or access denied.
ERROR [01000] [Microsoft][ODBC SQL Server Driver][DBNETLIB]ConnectionOpen (Connect()).
ERROR [01S00] [Microsoft][ODBC SQL Server Driver]Invalid connection string attribute
Title:GetData() 
Machine: LTPN
----------------------------------------

有人可以帮我创建模式吗?

1 个答案:

答案 0 :(得分:0)

第一步是将您的多行消息合并到一个logstash事件中。根据数据进入logstash的方式,您可以在此端执行此操作(filebeat支持多行)。如果没有,请查看多行编解码器。

将这些行合并后,您就可以使用grok {}过滤器来应用一个正则表达式来创建所需的字段。

相关问题
最新问题