Grok電子メールとIPが混在したコンテンツ行にある

Question

電子メールアドレスとIPなどの2つの異なるフィールドをGrokに追加します。

私がやっている以下：{：CLIENT_IP IP}

が間違っている

grok {match => [ "message", "%{EMAILADDRESS:username_client}" %{IP:client_ip} ]} 

最初のビットは、しかし

%結構です。 「メッセージ」は、基本的なとして混合されています Whatever whatever 200 300 100 example@example.com whatever whatever IP（または類似したもの）

Answer 1

あなたは任意の0以上の文字を指定することができ.*とパターン（貪欲バージョン、IPが行末にある場合に使用します）または.*?（怠惰なバージョン、電子メールとIP間のいくつかの文字がある場合に使用します）と2つのGROKパターンの間にそれを置く：

"%{EMAILADDRESS:username_client}.*%{IP:client_ip}" 
           ^^