代码之家 › 专栏 › 技术社区 › krock1516

如何为logstash编写定制的grok

logstash-grok logstash

krock1516 · 技术社区 · 7 年前

以下是我的日志模式:

testhost-in2,19/01/11,06:34,04-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:00 rm -rf /test/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-
testhost-in2,19/01/11,06:40,09-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:00 rm -rf /dv/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-\
testhost-in2,19/01/11,06:45,14-mins,arnav,arnav 2427 0.1 0.0 58980 580 ? S 06:30 0:01 rm -rf /dv/ehf/users/arnav-090119-184844,/dv/ehf/users/arnav-090119-\

HOSTNAME:hostname  DATE:date HOURS_Time:hour_min  USERNAME: username USERNAME:username  NUMBER:pid   COMMAND

任何帮助都将不胜感激。

%{HOSTANME}%{TIMESTAMP_ISO8601:RecordedDateTimeStamp} %{USERNAME:User} %{USERNAME:User} %{NUMBER:PID} %{FLOAT:mem} %{FLOAT:res}  %{NUMBER:PID} %{NUMBER:PID} %{GREEDYDATA}

和

%{HOSTANME}%{TIMESTAMP_ISO8601}%{HOUR}%{MINUTE}%{NUMBER}%{WORD}%{USER}%{USER}%{NUMBER: pid}%{NUMBER:float}%{NUMBER:float}%{NUMBER}%{NUMBER}%{GREEDYDATA}

1 回复 | 直到 7 年前

Val 7 年前

好的开始!下面是一个应该更有效的grok模式:

%{HOSTNAME:hostname},%{DATE:date},%{HOUR:hour1}:%{MINUTE:minute1},%{NUMBER}-%{WORD},%{USER:user},%{USER:user2} %{NUMBER:pid} %{NUMBER:float} %{NUMBER:float} %{NUMBER:number1} %{NUMBER:number2} %{DATA} %{HOUR:hour2}:%{MINUTE:minute2} %{HOUR:hour3}:%{MINUTE:minute3} %{GREEDYDATA:command},%{PATH:path}

推荐文章

Dharmin Fadia · 我希望使用logstash将消息值设置为feild

4 年前

phenric · ElasticSearch 6.2:从MySQL自动完成搜索

8 年前

user84592 · 如果日志包含特定单词,则忽略并移动到下一个模式

8 年前

pm1391 · 通过公共IP将Logstash连接到Azure中的Kafka

8 年前

A. Kendall · 使用grok匹配自定义样式的电子邮件地址

8 年前

Manikandan · 日志存储中处理的记录数

8 年前

Ashok Reddy · 如何删除filebeat标记,如id、主机名、版本、grok\u失败消息

8 年前

Ananda Kumar N C · Logstash 6.2.3检测到6。x及以上群集:“type”事件字段不会用于确定文档类型

8 年前

Muhammad Idrees · 使用logstash将csv文件导入elasticsearch时出错

8 年前

osexp2000 · logstash->elasticsearch:如何在输出新数据之前删除所有数据

8 年前