时间计数器的Grok滤波器HH:MM

grok正则表达式可以帮助您解决问题。

但首先我要确定你的意思是 [325:51] [326:49] [359:57] 您想获取的是三个组件吗?它将返回如下结果:

TimeSpent: 325:51
TimeStarted: 326:49
TimeSinceDown: 359:57

如果我明白了这一点,你可以用我的方式提出以下建议:

1. 定义您自己的自定义图案文件,并在文件中添加图案。
2. 只需在logstash conf文件的过滤器部分使用表达式

希望对你有帮助

啊,有一个空间。。事实上,我在误导我自己和我的问题中的每个人,因为实际上并不是那个日志行引起了问题。我只是拿了第一个,没有意识到问题真正在哪里,但引起问题的那个在括号内有一个空格: [ 42:31] . 还有一些部分有两个空格,所以我解决这个问题的方法是包含一个 %{SPACE} \[ 和 %{NUMBER} :

%{NUMBER:LogLineID} %{TIMESTAMP_ISO8601:LogDate} \[%{SPACE}%{NUMBER:TimeSpentMinutes}\:%{NUMBER:TimeSpentSeconds}\] \[%{SPACE}%{NUMBER:TimeStartedMinutes}\:%{NUMBER:TimeStartedSeconds}\] \[%{SPACE}%{NUMBER:TimeSinceDownMinutes}\:%{NUMBER:TimeSinceDownSeconds}\] %{GREEDYDATA:LogText}

我还没有解决分秒合并的问题,但我可以在以后处理这个问题。

谢谢林对我的问题表现出兴趣,也很抱歉没有及时回复。

如果其他人(甚至我自己)陷入了同样的问题,希望这个解决方案能帮助他们。

我自己注意:在摸索之前,仔细阅读日志:)