我刚刚开始与Logstash,ElasticSearch和Kibana一起玩日志的可视化,目前正在经历一些问题。我有一个由logstash收集的日志文件,我希望在将这些字段写入ElasticSearch之前从日志条目中提取字段。我在logstash配置文件中用我的多个命名捕获组定义了一个过滤器,但此时只有第一个命名捕获组匹配。我的日志文件如下所示:
2014-01-31 12:00:00 FIELD
我想创建一个logstashgrok模式来解析下面的oracle审计日志,并只从"<AuditRecord> to </AuditRecord>"中提取值 {"messageType":"DATA_MESSAGEOSPrivilege>SYSDBA</OSPrivilege><DBID>918393906</DBID> <Sql_Text>CONNECT<