请帮助我使用下面日志消息的GROK模式
请帮助我使用下面日志消息的GROK模式
提问于 2021-02-18 18:40:06
下面是发送到Kibana的日志消息,但我们需要在下面的任何一个隔离上添加过滤器,因为每个隔离都代表一些唯一的标准。
请告诉我this.in的GROK模式,下面的格式是rest关键字之后的实际消息
{"@timestamp":"2021-02-19T10:27:42.275+00:00",“严重性”:“信息”,“服务”:“capp”,"pid":"19592",“线程”:“SmsListenerContainer-9”,"class":"c.o.c.backend.impl.SmsServiceImpl",“SmsListener”:“SmsListener 63289e8d-13c9-4622-b1a1-548346dd9427缺失0:0:0:0:0:0:0:1 N/A"}
回答 1
Stack Overflow用户
发布于 2021-02-18 18:48:41
对于这类用例,this online tool提供了一种快速测试/验证表达式方法。
此表达式必须与我们的数据行匹配:
^\[%{TIMESTAMP_ISO8601:timestamp}\] \[%{LOGLEVEL:loglevel}\s*\] \[%{DATA:thread}?\] \[%{DATA:class}?\] \[%{DATA:action}?\] \[%{DATA:id}?\] \[%{DATA:field1}?\] \[%{DATA:field2}?\] \[%{DATA:field3}?\]因此,在文件配置上下文中,如下所示:
filter{
grok {
match => {
"message" => "^\[%{TIMESTAMP_ISO8601:timestamp}\] \[%{LOGLEVEL:loglevel}\s*\] \[%{DATA:thread}?\] \[%{DATA:class}?\] \[%{DATA:action}?\] \[%{DATA:id}?\] \[%{DATA:field1}?\] \[%{DATA:field2}?\] \[%{DATA:field3}?\]"
}
}
}页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/66258270
复制相关文章
相似问题
腾讯云开发者
