我有一个日志类型如下(单一空格分隔符):
“ABC”“DEF”“GHI”“JKL”“MNO”“PQR”“STU”“VWX”
以下是我的代码,用于匹配和排序此日志类型:
filter
{
if [type] == 'logtype' {
grok {
match => { "message" => "%{QS:abc} %{QS:def} %{QS:ghi} %{QS:jkl} %{QS:mno} %{QS:pqr} %{QS:stu} %{QS:vwx}"}
}
}
}
根据在线Grok Debugger,这应该有效,但Logstash/Kibana显示标记"_grokparsefailure"并且不对任何字段进行排序
非常感谢任何帮助!
02-节拍-input.conf中:
input {
beats {
port => 5044
ssl => true
ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt
ssl_key => "/etc/pki/tls/private/logstash-forwarder.key"
}
}