GROKパターン

^(?:%{LOGLEVEL:level}):\s*%{DATA:message}\s*(?:%{JAVACLASS:caller_class})\s+\[%{WORD:loglevel}\]\s+(\[\s*\S+\s+%{BASE10NUM:tstamp}.*?\]\s+)+(\[\s*\S+\s+%{BASE10NUM:memory}\S*\s+\S+\s+%{BASE10NUM:total}.*?\])

これはここhttps://regex101.com/r/yMq9J1/1 GROKパターン

、今私は、フィルタの私logstashの設定でこれを使用していたが、私はエラー

が与えられ得るから私のGROKパターンであります構成が無効です。理由：フィルタ{ grok { match => {"message" => "^（？：％{LOGLEVEL：level}）：\ sの後に、12行目、19行目（341バイト目）の＃、= \ s + [％{DATA：message} \ s *（？：％{JAVACLASS：caller_class}）\ s + [％{WORD：loglevel}] \ s +（\ s * \ S + \ s +％{BASE10NUM：tstamp}）？ ] \ S +）+（[\ sは \ S + \ S +％{BASE10NUM：メモリ} \ S * \ S + \ S + \ S +％{BASE10NUM：合計}。？*]）」 } } 出力{ elasticsearch

ここで状況を理解できますか？

出典

2016-12-06 Deepak Mann

あなたの全体構成を投稿することができ、してください？問題がどこにあるかはわかります。 – baudsp

grokパターンに問題はありません。コンフィグレーションには}がありません。grokフィルタの一致設定を閉じます。

それはこのように、%{BASE10NUM:total}.*?])"後に追加する必要があります。

 ...%{BASE10NUM:total}.*?])" 
    } # missing accolade 
    } 
} 

output { 
    elasticsearch 
    ...

出典

2016-12-06 13:24:59 baudsp

入力{ ビート{ ポート=> "5044" } } フィルタ{ GROK { マッチ=> { "メッセージ" =>「^（？：％{LOGLEVEL：レベル}）：\だ*％ {DATA：message} \ s *（？：％{JAVACLASS：caller_class}）\ s + \ [％{WORD：ログレベル} \] \ s +（\ [\ s * \ S + \ s +％{BASE10NUM：tstamp} ？\] \ s +）+（\ [\ s * \ S + \ s +％{ベース10NUM：メモリ} \ S * \ s + \ S + \ s +％{ベース10NUM：合計} } 出力{elasticsearch {\tホスト=> [ "はlocalhost：9200"] \t template_overwrite =>真 } } –

@DeepakMann質問のタグの下に編集ボタンがあり、あなたの質問を変更してコメントに場所がない情報を追加することができます。 – baudsp

@DeepakMannこの設定は私のコンピュータで問題なく動作しました（Windows 7のLS 2.2）。 – baudsp

答えて

関連する問題