设置参数 `node.name` 可以自定义 Elasticsearch 节点的名字。 此条 Tips 由 medcl 贡献。

求教各位同学我的grok为啥在配置文件里不生效?

Logstash | 作者 zhaoyuan | 发布于2019年04月05日 | 阅读数:4277

日志是这样的:
Apr  5 10:27:17 event type=\"detector\" date=\"1554431239\" sensor=\"\" device=\"10.163.5.161\" interface=\"eth5\"
规则是:
^%{WORD:month}.*?%{NUMBER:num}.*?%{TIME:now_time}.*?event type=.*?%{WORD:event_type}.*?date.*?%{NUMBER:date}.*?sensor=.*?%{SPACE:sensor}.*?device.*?%{IP:device}.*?interface.*?%{WORD:interface}.*?
 
(!!!还有求教各位大佬为啥这个规则不识别引号,转义了也不识别,所以只好拿 .*? 代替!!!)
 
还有一个问题就是例如:
   sensor=\"\"      这种格式,两个引号中间的值有时候是有的有时候是没有的我拿%{SPACE:sensor}可以拿到里面的空或非空的值么?
 
已邀请:

wzfxiaobai - 90后it民工

赞同来自:

你可以去gitlab上下载一下grok的配置正则表达式

要回复问题请先登录注册