logstash2 的 grok 帮助

【问题标题】:grok help for logstash2logstash2 的 grok 帮助
【发布时间】:2026-02-07 09:35:01
【问题描述】:

我的日志看起来像这样(IIS 完整日志)

2015-03-12 16:46:33 W3SVC1 TESTPC 192.168.50.4 GET / - 443 - 217.20.181.177 HTTP/1.1 Mozilla/5.0+(Windows+NT+6.3;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/40.0.2214.115+Safari/537.36 - - hideme.ru 200 0 0 1449 402 187

我的 httpversion 格式有问题(看起来像 HTTP/1.1)。我不知道如何格式化它

我只是通过使用 grok 模式页面来使用以下格式。

%{TIMESTAMP_ISO8601:timestamp} %{WORD:sitename} %{NOTSPACE:whost} %{IPORHOST:hostip} %{WORD:method} %{URIPATH:page} %{NOTSPACE:query} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clientip} %{GREEDYDATA:httpversion} %{NOTSPACE:useragent} %{NOTSPACE:cookie} %{NOTSPACE:referrer} %{WORD:host} %{NUMBER:status} %{NUMBER:substatus} %{NUMBER:scstatus} %{NUMBER:csbytes} %{NUMBER:timetaken}

【问题讨论】:

    标签: elasticsearch logstash


    【解决方案1】:

    如果您想获得 http 版本部分(1.1 代表您的 HTTP/1.1),您可以执行以下操作(取自 logstash-patterns-core,COMMONAPACHELOG):

    HTTP/%{NUMBER:httpversion}

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式