私はいつもgrokの解析エラーを避けるべきですか？

Question

私は、このようなIPアドレスなどのために一致して、私のログにフィールドを持っている：

grok { 
    match => [ "field1", "(?:(?<field2>%{IP})|(%{IP}),\+)"] 
} 

時には、このフィールド1フィールド2はそうはドキュメントで作成されることは決してありません空白になっています。

有効なIPアドレスでない限り、このフィールドを追加しないようにしたいので、これは良いことです。

しかし、これが発生すると、ドキュメントに_grokparsefailureというタグが付けられます。これは悪いですか？これは私が何か間違っていることを意味し、私は_grokparsefailuresを避けるべきですか？

Answer 1

すべて_grokparsefailureは、いくつかのgrokルールを更新する必要があるかもしれないことを示す管理者にとってのブレッドクラムです。パフォーマンス面では、ルールほど意味がありません。あなたが実際にgrokステートメントのミスを気にしない場合は、別の方法でタグ付けするように指示することができます（tag_on_failure => ["something"]）。