我正在使用LogStash,它接受日志文件中的数据,该日志文件具有不同类型的日志。
我试过了:
filter {
grok {
match => { "message" => "%{WORD:tag} %{WORD:message} %{WORD:value}
}
}
但它没有用。
答案 0 :(得分:0)
我正在使用grok过滤器来检查日志行是否是一种格式。
如果grok过滤器无法解析日志行(例如使用json行),_grokparsefailure将被添加到标记中。然后,您可以使用此标记来区分两种日志类型。
tr要测试你的grok模式,Grok Constructor是一个很好的工具。