Logstash Grok Parse Error - журнал fail2ban

Question

Я пытаюсь разобрать файл журнала fail2ban с помощью файла конфигурации и шаблона ниже (через онлайн-учебник).

Однако я получаю ошибку анализа park, любые идеи, как исправить это?

формат файла журнала:

2017-02-13 18:49:52,567 fail2ban.actions [1365]: NOTICE [sshd] Ban 127.0.0.1 

logstash конфигурации:

input { 
    file { 
    type => "fail2ban" 
    start_position => "beginning" 
    path => [ "/var/log/fail2ban.log" ] 
    } 
} 

filter { 
    if [type] == "fail2ban" { 
    grok { 
     patterns_dir => "/etc/logstash/patterns" 
     match => [ 
     "message", "%{F2B_DATE:date} %{F2B_ACTION} %{WORD:level} %{F2B_JAIL} %{WORD:action} %{IP:ip}", 
     "message", "%{F2B_DATE:date} %{F2B_ACTION} %{F2B_LEVEL} %{GREEDYDATA:msg}?" 
     ] 
    } 

    geoip { 
     source => "ip" 
    } 
    } 
} 

шаблон конфигурации:

F2B_DATE %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[ ]%{HOUR}:?%{MINUTE}(?::?%{SECOND}) 
F2B_ACTION (\w+)\.(?:\w+)(\s+)?\: 
F2B_JAIL \[(?<jail>\w+\-?\w+?)\] 
F2B_LEVEL (?<level>\w+)\s+ 

Answer 1

Я думаю, что у ou're хватает на морковь символ^ в вашем матче, что означает сказать образцу, что это где начать с, в строке журнала. Что делать, если у вас есть матч как таковой:

match => [ 
    "message", "^%{F2B_DATE:date} %{F2B_ACTION} %{WORD:level} %{F2B_JAIL} %{WORD:action} %{IP:ip}", 
    "message", "^%{F2B_DATE:date} %{F2B_ACTION} %{F2B_LEVEL} %{GREEDYDATA:msg}?" 
]