Я очень новичок в использовании Logstash.У меня есть два типа журнала,
Шаблон 1: --2019-05-09 08: 53: 45.057 -INFO 11736 --- [ntainer # 1-0-C-1] cssservice.MessageLogServiceImpl: [adc7fd862db5307a688817198046b284dbb12b9347bed9067320caa49d8efa381557392024151] Событие => Изменение статуса сообщения [Время начала: 09052019 08:53:44]: CUSTOM_PROCESSING_COMPLETED
06: 05: 0: 0: 0 * 0 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 095;# 0-0-C-1] cssservice.MessageLogServiceImpl: [41a6811cbc1c66eda0e942712a12a003d6bf4654b3edb6d24bf159b592afc64f15573845455]] Событие => ошибка сообщения, многие из которых определены * два * * * эти два типа * есть еще 100 *, хотя есть и другие, но еще 100 * *, не считая этого, еще есть, но есть еще 100 *, хотя в другом случае есть еще 5 *, хотя в другом случае есть только 5 *, хотя в этом случае есть еще 5 *, хотя в этом случае есть еще * *, но не все, но есть еще 100 * *.Поэтому я использовал фильтр ниже,
grok {
#Event : message status change
match => {
"message" => "--(?<logtime>[^\]]*) -%{LOGLEVEL:level} (?<pid>\d+) --- \[(?<thread>[^\]]+)] (?<classname>[\w.]+)\s+: \[(?<token>[^\]]+)] Event \=> Message Status Change \[Start Time : (?<start>[^\]]*)\] : (?<status>[\w]+)"
}
add_field => {
"event" => "message_status_change"
}
}
grok {
#Event : message failure
match => {
"message" => "--(?<logtime>[^\]]*) -%{LOGLEVEL:level} (?<pid>\d+) --- \[(?<thread>[^\]]+)] (?<classname>[\w.]+)\s+: \[(?<token>[^\]]+)] Event \=> Message Failure Identified : (?<code>[\w]+)"
}
add_field => {
"event" => "message_failure"
}
}
Я также заметил, что оба эти паттерна работы работают индивидуально (если я прокомментирую один, тогда другой работает отлично).Сервер Logstash также в порядке, когда оба шаблона активны.Но он вызывает ошибку grokparse, когда они оба открыты, и в файл журнала добавлена новая строка.
Также я хочу знать, хотя я настроил ввод для чтения из файла с самого начала, этоне читает даже после перезапуска сервера, если я не добавлю новую строку в журнал.Почему такое поведение?
Заранее спасибо.