【发布时间】:2018-05-09 13:30:51
【问题描述】:
我有一个来自我的服务器的日志,格式如下,开始将日志注入我的 ELK 服务器,但在匹配日志模式时卡住了。
2018-04-20T21:51:13.677291071-0400 level=7 [Common] [Common] [ID=22] [0001232700011fde] [00943 01248] [Thread1] "[key1:N/A key2:0 key3:N/A]: Completed flow"
我能够匹配到Thread1,我怎样才能获得双引号内的key1 的值。
目前我使用以下模式并将整个消息存储在单个字符串中。
%{TIMESTAMP_ISO8601:logTimestamp} level=%{NUMBER:severity} \[Common\] \[Common] \[ID=%{BASE10NUM:logId}] \[%{WORD:taskId1}] \[%{DATA:taskId2}] \[%{DATA:taskName}]%{GREEDYDATA:logString}
我使用http://grokdebug.herokuapp.com/ 来检查语法,是否有任何其他免费实用程序可以根据输入字符串提供 grok 模式?
【问题讨论】:
-
请检查我的答案