【发布时间】:2021-09-23 08:57:09
【问题描述】:
我们正在使用自定义的 IIS wc3 日志,因此更改了 grok 模式以将其放入文件中:
\filebeatXXXX\module\iis\access\ingest\pipeline.yml :
- grok:
field: message
patterns:
- '%{TIMESTAMP_ISO8601:iis.access.time} (?:-|%{IPORHOST:destination.address}) (?:-|%{WORD:http.request.method}) (?:-|%{NOTSPACE:url.path}) (?:-|%{NUMBER:destination.port:long}) (?:-|%{NOTSPACE:user.name}) (?:-|%{IPORHOST:source.address}) (?:-|HTTP/%{NUMBER:http.version}) (?:-|%{NUMBER:http.response.status_code:long}) (?:-|%{NUMBER:iis.access.sub_status:long}) (?:-|%{NUMBER:iis.access.win32_status:long}) (?:-|%{NUMBER:http.response.body.bytes:long}) (?:-|%{NUMBER:http.request.body.bytes:long}) (?:-|%{NUMBER:temp.duration:long})?'
ignore_missing: true
该模式在使用 Grok 调试器的弹性开发工具中工作。这是我从 iis 日志中获取的示例数据。
2021-07-14 06:51:45 19.16.2.8 POST /api/DocumentMainReport/GetReport 443 demouser 19.18.2.1 HTTP/2 200 0 0 1093 1398 96
但在弹性发现日志中仍然存在错误“Provided Grok 表达式与字段值不匹配......”。
我错过了什么?
【问题讨论】: