Grok可以在调试器中工作,但不能在logstash.conf中工作

xpszyzbs  于 2022-12-09  发布在  Logstash
关注(0)|答案(1)|浏览(144)

我尝试从我的非结构化日志logstash中提取两个字段。我的日志消息看起来像这样:

[2/9/2022 7:32:16 PM] logmessage

我有这个Grok:

grok {
   match => { "message" => "\[(?<app_log_date>\d{1,2}/\d{1,2}/\d{4} (1[0-2]|0?[1-9]):[0-5][0-9]:[1-9][0-9] (AM|PM))\] %{GREEDYDATA:app_message}" }
}

当我把它放在Grok调试器中时,它运行得很好,但是当我把它放在我的logstash.conf中时,它在我的ElasticSearch输出中产生了格式错误的消息和一个_grokparsefailure。知道我在这里做错了什么吗?我需要转义括号吗?

yeotifhr

yeotifhr1#

我早上刚检查了我的日志,看起来它们被正确解析了!不确定是不是我的测试日志,我是通过VS代码强制的还是什么,但它现在正以缩进的方式工作。

相关问题