Фильтры Grok для приведенного ниже сообщения журнала

Question

Я работаю над написанием шаблона для этой конкретной линии с помощью фильтра GROK «NOTIFICATION-Interface_IF-asdasdsf01.chn.asdfasp.com/1074_Down» Может кто-нибудь мне поможет в этом.

Это р-ех я придумал [AZ] \ W + [-] [AZ] [AZ] \ ш + [] \ ш + [A-Za-Z] [-] \ ш + [а -zA-Z0-9] [.] [A-Za-z] \ w + [.] [A-Za-z] \ w + [.] [az] \ w +/[0-9] \ d + [] [A-Za-Z] \ ш +

, но я хочу его "NOTIFICATION-Interface_IF-asdasdsf01.chn.asdfasp.com/1074_Down", а также с вне CHN в имя хоста ИЗВЕЩЕНИЕ-Interface_IF-asdasdsf01. asdfasp.com/1074_Down

Спасибо заранее.

Answer 1

Какие данные вы бы взяли?

Используя этот вид рисунка, если можно было бы захватить несколько данных

%{WORD:type}-%{WORD:interface}-%{GREEDYDATA:client} 

Будет производить

type = "NOTIFICATION" 
interface = "Interface_ID" 
client = "asdasdsf01.chn.asdfasp.com/1074_Down" 

Не стесняйтесь проверить и обновить шаблон с помощью grok debugger. См. here собственные шаблоны из логсташа.

PS: ваше первое регулярное выражение может быть упрощено: ([A-Z]+)\-([A-Za-z]+)_([A-Za-z]+)\-(.*)\/([0-9]+)_([A-Za-z]+). В зависимости от вашего разделителя это может быть проще. Вы можете проверить это link