elasticsearch 如何使用grok过滤器解析logstash中的非json消息

ctrmrzij  于 2022-11-28  发布在  ElasticSearch
关注(0)|答案(1)|浏览(245)

我尝试将所有容器中的日志消息放入ElasticSearch中,但我建议其中很多不是JSON格式。我尝试使用简单的grok过滤器参数解析它们,但在final msg和grokparsefail status

中看到很多容器名称

if [type] == "filebeat-docker-logs" {

    grok {
      match => {
        "message" => "\[%{WORD:containerName}\] %{GREEDYDATA:message_remainder}"
      }
    }
q7solyqu

q7solyqu1#

使用以下grok模式:

(?<containerName>[a-zA-Z0-9._-]+).*?(?<timestamp>%{YEAR}\/%{MONTHNUM}\/%{MONTHDAY} %{TIME}) %{GREEDYDATA:message}

它工作

相关问题