ГРОК шаблон фильтрации

Question

Привет Я новичок в logstash и фильтрации обращал внимания, у меня есть образец журнала, как это:

1/11/2017 12:00:17 AM: Ошибка выброшены на: Нет Ошибка

---

Запрос послали: WebMethod: GetOSSUpdatedOrderHeader | appCode: ОСС | regionCode: ЕМЕА | orderKeyList: | lastModifedDateTime: 1/10/2017 11:59:13 PM |

---

Я хочу, чтобы отфильтровать разделительную линию, которая является линией полного ** (в последней строке) Кроме того, когда я хочу, чтобы быть в состоянии захватить всю линию, включая «:» в одном поле. Например, в приведенном выше журнале webMethod:GetOSSUpdatedOrderHeader должен быть захвачен в одном поле в моем шаблоне grok. Есть ли способ достичь этого? ТИА. Пожалуйста, обратитесь к прикрепленному изображению для sample log message

Answer 1

Несколько советов:

• Фотография бревен не хороший способ предложить кому-то пример, скопируйте и вставьте журнал
• Grok Debugger это отличный способ строить свои собственные образцы ГРОК

Это должно работать для журнала образца линии, которую вы вставили в:

%{NOTSPACE:webMethod}\|%{NOTSPACE:appCode}\|%{NOTSPACE:regionCode}\|%{NOTSPACE:orderKeyList}\|%{NOTSPACE:lastModifedDateTime} 

Однако, что вы запросили, возможно, не совсем то, что вы хотите, так как вы просто хотите получить содержимое поля в результате, а не имя поля. Это должно дать вам более разумные результаты:

webMethod:%{NOTSPACE:webMethod}\|appCode:%{NOTSPACE:appCode}\|regionCode:%{NOTSPACE:regionCode}\|orderKeyList:(?:%{NOTSPACE:orderKeyList}|)\|lastModifedDateTime:%{NOTSPACE:lastModifedDateTime} 

Затем вы хотите обработать lastModifedDateTime поле с date фильтром, чтобы получить штамп даты в формате logstash можно сохранить в.