以下是发送至Kibana 的日志消息,但我们需要对以下任何一种隔离添加过滤器,因为每个隔离都代表一些独特的标准。
请帮我解决这个问题的GROK 模式。在下面的格式中,实际消息是在rest 关键字之后
{"@timestamp":"2021-02-19T10:27:42.275+00:00","severity":"INFO","service":"capp","pid":"19592","线程":"SmsListenerContainer-9","class":"c.o.c.backend.impl.SmsServiceImpl","rest":"[SmsListener] [sendSMS] [63289e8d-13c9-4622-b1a1-548346dd9427] [synemail] [ABSENT] [synfi] [0:0:0:0:0:0:0:1] [N/A] [N/A] [结束方法]"}
【问题讨论】:
标签: elasticsearch logstash kibana
对于这种用例,您有this online tool,它提供了一种快速测试/验证表达式的方法。
这个表达式必须匹配我们的数据行:
^\[%{TIMESTAMP_ISO8601:timestamp}\] \[%{LOGLEVEL:loglevel}\s*\] \[%{DATA:thread}?\] \[%{DATA:class}?\] \[%{DATA:action}?\] \[%{DATA:id}?\] \[%{DATA:field1}?\] \[%{DATA:field2}?\] \[%{DATA:field3}?\]
所以在文件配置上下文中,这看起来像这样:
filter{
grok {
match => {
"message" => "^\[%{TIMESTAMP_ISO8601:timestamp}\] \[%{LOGLEVEL:loglevel}\s*\] \[%{DATA:thread}?\] \[%{DATA:class}?\] \[%{DATA:action}?\] \[%{DATA:id}?\] \[%{DATA:field1}?\] \[%{DATA:field2}?\] \[%{DATA:field3}?\]"
}
}
}
【讨论】: