代码之家  ›  专栏  ›  技术社区  ›  Kizer

使用Logstash grok模式匹配带有前缀和后缀的字符串

logstash-grok regex
  •  0
  • Kizer  · 技术社区  · 7 年前

    我有一个麋鹿集群来保存下面的日志,我想使用logstash grok提取日志中的一些字段。 

    [info ][170703 10:34:38.998686/832]acct ok,deal_time=122ms;ACCESS_PORT=216179383538692472&ACCESS_TYPE=2&ACCOUNT=07592111916&Acct-Status-Type=3;

    这是我的grok模式。 

    %{SYSLOG5424SD}\[%{DATA:[@metadata][timestamp]}\/%{NUMBER}\]%{WORD:type}\ %{WORD:status}\,%{GREEDYDATA}%{NUMBER:dealtime}ms\;%{GREEDYDATA}(?<acct>(?<=ACCOUNT=).*)

    我想提取一些字段的值,并将其赋给事件变量。 例如:账户=0759211916

    我使用(?<=帐户=)*&$)要提取价值,但不起作用,我的问题在哪里?

    http://grokdebug.herokuapp.com

    1 回复  |  直到 7 年前
        1
  •  1
  •   Кирилл Полищук    7 年前

    (?<acct>(?<=ACCOUNT=)[^&]+)

    推荐文章
    Dharmin Fadia  ·  我希望使用logstash将消息值设置为feild
    2 年前
    user84592  ·  如果日志包含特定单词,则忽略并移动到下一个模式
    6 年前
    A. Kendall  ·  使用grok匹配自定义样式的电子邮件地址
    6 年前
    Ashok Reddy  ·  如何删除filebeat标记,如id、主机名、版本、grok\u失败消息
    6 年前
    John Mc  ·  在Filebeat的自定义字段上记录条件逻辑
    6 年前
    user8981307  ·  logstash平原错误。日志无法创建管道
    6 年前
    Maria Montenegro baudsp  ·  搜索多条消息并使用不同的标记处理它们
    7 年前
    loki  ·  如何使用logstash制作索引json文件?
    7 年前
    Kizer  ·  使用Logstash grok模式匹配带有前缀和后缀的字符串
    7 年前
    Mehmet KILIÇ  ·  我无法读取Logstash中的拆分字段
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号