我尝试在 Logstash 中使用 GROK 模式,该模式在 GROK 调试器 website 中有效,但在 Log stash 中无效。我尝试了不同的配置,但没有成功。我希望有人可以帮助我确定为什么这不起作用。
输入:2015-04-15 12:43:23.788 1883 AUDIT nova.compute.resource_tracker [-] 可用磁盘(GB):-7
搜索模式:可用磁盘\(GB\):\-%{INT:auth_method}
我想提取值7
感谢您的帮助!!!!
【问题讨论】:
%{INT:auth_method:int} 使 auth_method 字段成为整数字段而不是字符串字段。
标签: regex logstash logstash-grok
讨厌这么说,OP,但它对我有用:
input {
stdin {}
}
filter {
grok {
match => [ message, "Free disk \(GB\): \-%{INT:auth_method}" ]
}
}
output {
stdout { codec => rubydebug }
}
给你这个:
2015-04-15 12:43:23.788 1883 AUDIT nova.compute.resource_tracker [-] Free disk (GB): -7
{
"message" => "2015-04-15 12:43:23.788 1883 AUDIT nova.compute.resource_tracker [-] Free disk (GB): -7",
"@version" => "1",
"@timestamp" => "2015-04-16T15:57:17.229Z",
"host" => "0.0.0.0",
"auth_method" => "7"
}
检查模式末尾是否有多余的空格?
【讨论】: