代码之家  ›  专栏  ›  技术社区  ›  user8981307

logstash平原错误。日志无法创建管道

logstash-configuration logstash-grok logstash
  •  0
  • user8981307  · 技术社区  · 6 年前

    需要一点帮助,找出管道为什么没有启动。 

    [ERROR][logstash.agent] Cannot create pipeline {:reason=>"Expected one of #, => at line 39, column 52 (byte 563) after filter {\n grok {\n patterns_dir =>  \"/etc/logstash/patterns.d\" \n match => {\n \"%{SYSLOGBASE} %{POSTFIXSMTPDCONNECTS}\""}

    这是我的grok文件: 

    input {
        file {
        type => "postfix"
        path => "/var/log/maillog"
    }
}

filter {
    grok {
        patterns_dir =>  ["/etc/logstash/patterns.d"]
        match => {
            "%{SYSLOGBASE} %{POSTFIXSMTPDCONNECTS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDACTIONS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDTIMEOUTS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDLOGIN}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDCLIENT}",
            "%{SYSLOGBASE} %{POSTFIXSMTPRELAY}",
            "%{SYSLOGBASE} %{POSTFIXSMTPCONNECT}",
            "%{SYSLOGBASE} %{POSTFIXSMTP4XX}",
            "%{SYSLOGBASE} %{POSTFIXSMTP5XX}",
            "%{SYSLOGBASE} %{POSTFIXSMTPREFUSAL}",
            "%{SYSLOGBASE} %{POSTFIXSMTPLOSTCONNECTION}",
            "%{SYSLOGBASE} %{POSTFIXSMTPTIMEOUT}",
            "%{SYSLOGBASE} %{POSTFIXBOUNCE}",
            "%{SYSLOGBASE} %{POSTFIXQMGR}",
            "%{SYSLOGBASE} %{POSTFIXCLEANUP}"
        }
        named_captures_only => true
    }
}

    我在logstash v5.6.5上。我读到conf.d文件夹中的所有文件在读取时合并在一起。为了查看代码的特定第39行,是否需要查找特定的文件。

    1 回复  |  直到 6 年前
        1
  •  0
  •   baudsp    6 年前

    如何编写grok筛选器时出错。因为有多个模式,所以应该使用一个数组。你忘了指出你在哪个场地比赛。看见 the documentation 了解更多信息。

    编写grok筛选器的正确方法是(假设您想在 message 字段): 

    grok {
    patterns_dir =>  ["/etc/logstash/patterns.d"]
    match => { 
        "message" => [
            "%{SYSLOGBASE} %{POSTFIXSMTPDCONNECTS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDACTIONS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDTIMEOUTS}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDLOGIN}",
            "%{SYSLOGBASE} %{POSTFIXSMTPDCLIENT}",
            "%{SYSLOGBASE} %{POSTFIXSMTPRELAY}",
            "%{SYSLOGBASE} %{POSTFIXSMTPCONNECT}",
            "%{SYSLOGBASE} %{POSTFIXSMTP4XX}",
            "%{SYSLOGBASE} %{POSTFIXSMTP5XX}",
            "%{SYSLOGBASE} %{POSTFIXSMTPREFUSAL}",
            "%{SYSLOGBASE} %{POSTFIXSMTPLOSTCONNECTION}",
            "%{SYSLOGBASE} %{POSTFIXSMTPTIMEOUT}",
            "%{SYSLOGBASE} %{POSTFIXBOUNCE}",
            "%{SYSLOGBASE} %{POSTFIXQMGR}",
            "%{SYSLOGBASE} %{POSTFIXCLEANUP}"
        ]
    }
    named_captures_only => true
}
    推荐文章
    Dharmin Fadia  ·  我希望使用logstash将消息值设置为feild
    2 年前
    phenric  ·  ElasticSearch 6.2:从MySQL自动完成搜索
    6 年前
    user84592  ·  如果日志包含特定单词,则忽略并移动到下一个模式
    6 年前
    pm1391  ·  通过公共IP将Logstash连接到Azure中的Kafka
    6 年前
    A. Kendall  ·  使用grok匹配自定义样式的电子邮件地址
    6 年前
    Manikandan  ·  日志存储中处理的记录数
    6 年前
    Ashok Reddy  ·  如何删除filebeat标记,如id、主机名、版本、grok\u失败消息
    6 年前
    Ananda Kumar N C  ·  Logstash 6.2.3检测到6。x及以上群集:“type”事件字段不会用于确定文档类型
    6 年前
    Muhammad Idrees  ·  使用logstash将csv文件导入elasticsearch时出错
    6 年前
    osexp2000  ·  logstash->elasticsearch:如何在输出新数据之前删除所有数据
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号