Проблема Грока - работа с шаблоном "НЕКОТОРЫЙ ТЕКСТ"

Question

Я застрял с Гроком.Вот код, который я хочу использовать в Кибане:

"1.1.1.1" "NULL-AUTH-USER" "21/Jul/2010:20:22:31 +0100" "GET /html/some_file.txt HTTP/1.1" 200 674347 

Как только я не могу пройти через «NULL-AUTH-USER».IP-адрес обрабатывается, это нормально, но после этого я застрял.код для grok, который не возвращает то, что я хочу:

%{IP:ipadd}%{WORD:notauusr}

Цель состоит в том, чтобы иметь что-то вроде этого:

IP-address user date&time methode uri returncode size

Спасибо за вашу помощь заранее!

Answer 1

Вы можете использовать:

"%{IPORHOST:clientip}" "%{USER}" "%{HTTPDATE:timestamp}" "(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})" %{NUMBER:response} (?:%{NUMBER:bytes}|-)

Это модифицированная версия COMMONAPACHELOG.

Оформление заказа: https://www.elastic.co/guide/en/logstash/current/config-examples.html и https://github.com/logstash-plugins/logstash-patterns-core/blob/master/patterns/httpd

Существует также https://grokdebug.herokuapp.com, который является отличным инструментом для отладки паттернов Грока.