在我的logstash配置中,我需要使用多个模式。我的应用程序以3种模式生成日志。我试图将数组用于多个模式,但它不起作用。
filter{
grok{
match=>{
"message"=>[
"\[%{TIMESTAMP_ISO8601:timestamp}\] COMMTRACE user=\[%{GREEDYDATA:userId}\]\, sessionId\=\[%{GREEDYDATA:sessionId}\]\, ip\=\[%{HOSTNAME:ip}\]\, event\=\[%{GREEDYDATA:event}\]",
"\[%{TIMESTAMP_ISO8601:timestamp}\] COMMTRACE user\=\[%{GREEDYDATA:user}\], sessionId\=\[%{GREEDYDATA:sessionId}\], ip\=\[%{IP:ip}\]\, type\=\[%{GREEDYDATA:type}\]\, msg\=\[%{GREEDYDATA:msg}\]"
]
}
}
}
请帮忙
答案 0 :(得分:2)
您没有在GREEDYDATA:用户之后转义第二个模式中的逗号,以及GREEDYDATA之后的逗号:sessionId。