【发布时间】:2020-01-23 14:53:17
【问题描述】:
问题
我正在尝试学习 logstash 并使用条件语句解析 grok。日志在 if 语句之外成功解析,但在语句内部没有解析。似乎 grok 不阅读表达式。
目标
[2020-01-09 08:32:46] VERBOSE[18962][C-0000ceae] pbx.c: 执行 [s@macro-dialout-trunk:26] NoOp("PJSIP/3513-0001108e", “由于某种原因拨号失败,DIALSTATUS = BUSY 和 HANGUPCAUSE = 19”)在新堆栈中
filter
{
grok
{
match =>
{
"message" => "\[%{TIMESTAMP_ISO8601:log_timestamp}\] +(?<log_level>(?i)(?:debug|notice|warning|error|verbose|dtmf|fax|security)(?-i))\[%{INT:thread_id}\](?:\[%{DATA:call_thread_id}\])? %{DATA:module_name}\: %{WORD:action}\s\[%{DATA:TARGET}@%{DATA:dialplan_context}:%{DATA:dialplan_priority}\]\s%{GREEDYDATA:log_message}"
}
add_field => ["receiver_timestamp", "%{@timestamp}"]
add_field => ["process_name","asterisk_failed"]
}
if [action] == "Executing" and [dialplan_priority]=="1"{
grok
{
match =>
{
"log_message"=>"%{DATA:asterisk_app}\(\"%{DATA:protocol}\/%{DATA:EXT}\-%{DATA:channel}\"\,\s\"%{DATA:problem1}\-\s%{DATA:problem2}\"\)\s%{GREEDYDATA:all}"
}
}
}
if [action] == "Executing" and [dialplan_priority]=="26"{
grok
{
match =>
{
"log_message"=>"%{DATA:asterisk_app}\(\"%{DATA:protocol}\/%{DATA:EXT}\-%{DATA:channel}\"\,\s\"%{DATA:problem1}\sand\s%{DATA:problem2}\"\)\s%{GREEDYDATA:all}"
}
}
}
}
我已经(自己)测试了我的 grok 过滤器,它运行良好。 是否有一些东西需要导入才能使用条件表达式?
【问题讨论】:
-
为我工作:jsonformatter.org/17c1a6.
标签: elasticsearch logstash logstash-grok