Logstash/GROK：ログファイルを解析する際のカスタム変数の作成

Question

Logstash設定ファイルにカスタム正規表現を作成してGROKフィルタを書き込むことはできましたが、Grokを初めて使用しました。次のように私の問題は次のとおりです。

ソースフィールド - 私は、すべてのイベントは、例えば、ログファイルの名前である「ソース」フィールドを含んでいるログファイル、解析しています ：

test.YYYYMMDD_HHMMSS.log 

を

私は何をしたいです：「ソース」は、このファイル名が含まれている各イベントについて、完全に理解フィルター内の新しいフィールド内で、次の形式で日付と時刻を抽出します。

DD/MM/YYYY HH:MM:SS 

私はGROKでカスタム正規表現（REs）を書く方法を知っていますが、変数に格納する前にデータとと一致するREを書くことはできません。だから私の問題です。

誰でもお手伝いできますか？

ありがとうございます！

Answer 1

ファイル名から日付を抽出すると効果があります。あなたはGROKフィルタでソースフィールドの日付部分と一致し、そのように新しいフィールドを追加することができるはずです。

filter { 
    grok { 
     match => [ 
     "source", "test.%{YEAR:year}%{MONTHNUM2:month}%{DATA:day}_%{HOUR:hour}%{MINUTE:minute}%{SECOND:second}.log" 
     ] 
    } 
    mutate { add_field => { "your_new_date_field" => "%{day}/%{month}/%{year} %{hour}:%{minute}:%{second}" } } 
} 

私は今、この権利をテストする可能性を持っていないが、私はあなたが得る願っていますアイディア。

このソリューションは、年、月、日などの多くの追加フィールドを作成します。追加のフィールドを取り除きたい場合は、metadata fieldsを使用できます。