代码之家  ›  专栏  ›  技术社区  ›  Ashok Reddy

grok过滤器从两个特定单词中提取一些消息

logstash-grok logstash
  •  1
  • Ashok Reddy  · 技术社区  · 6 年前

    下面是示例日志文件 

    2018-07-02 09:35:57 991 [INFO] from application in pool-2-thread-9 - Authenticate document processing time for transactionId : 1271400374895007_node1 documentType : Passport is 1629 msec

    我编写了grok过滤器来提取一些字段,如事务、文档类型、持续时间 

    %{TIMESTAMP_ISO8601:timestamp} (\[%{WORD:loglevel}\]) (?<logger>(?:[a-zA-Z0-9-]+\.)*[A-Za-z0-9$]+)\s+(-\s+)? %{GREEDYDATA} .*transactionId : %{WORD:transactionid} documentType : %{WORD:document type} is (?<duration>.*msec

    有人能建议如何提取两个特定词之间的数据吗?“(信息之间)”处理时间“

    1 回复  |  直到 6 年前
        1
  •  1
  •   Sufiyan Ghori    6 年前

    您可以创建一个自定义模式来匹配 - processing time , 

    (?<pool_thread>\w+[-]\d+[-]\w+[-]\d+\s*?)-(?<custom_word>.*?)(processing time)

    这将输出, 

    {
  "pool_thread": [
    [
      "pool-2-thread-9 "
    ]
  ],
  "custom_word": [
    [
      " Authenticate document "
    ]
  ]
}
    推荐文章
    Dharmin Fadia  ·  我希望使用logstash将消息值设置为feild
    2 年前
    phenric  ·  ElasticSearch 6.2:从MySQL自动完成搜索
    6 年前
    user84592  ·  如果日志包含特定单词,则忽略并移动到下一个模式
    6 年前
    pm1391  ·  通过公共IP将Logstash连接到Azure中的Kafka
    6 年前
    A. Kendall  ·  使用grok匹配自定义样式的电子邮件地址
    6 年前
    Manikandan  ·  日志存储中处理的记录数
    6 年前
    Ashok Reddy  ·  如何删除filebeat标记,如id、主机名、版本、grok\u失败消息
    6 年前
    Ananda Kumar N C  ·  Logstash 6.2.3检测到6。x及以上群集:“type”事件字段不会用于确定文档类型
    6 年前
    Muhammad Idrees  ·  使用logstash将csv文件导入elasticsearch时出错
    6 年前
    osexp2000  ·  logstash->elasticsearch:如何在输出新数据之前删除所有数据
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号