Question

Может ли кто-нибудь помочь мне с моим фильтром Грока?

Журнал доступа, который я хочу проанализировать, выглядит следующим образом:

10.00.000.00 - - [08/Feb/2019:09:06:54 -0500] "GET /aft_ms_management_1/ms_manage HTTP/1.1" 404 1164

И шаблон Grok, который я пытаюсь использовать:

grok { match => [ "message", "%{IP:client_ip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:apache_timestamp}\] \"%{WORD:method} /%{NOTSPACE:request_page} HTTP/%{NUMBER:http_version}\" %{NUMBER:server_response} %{NUMBER:bytes}"] }

Когда я проверяю grokфильтр, я получил следующую ошибку:

: error => "конечный шаблон с несопоставленными скобками:

Но я нигде не вижу скобок ... Спасибоза вашу помощь

В качестве дополнительной информации я проверяю свой шаблон с помощью:

input { stdin { } } output { stdout { codec => rubydebug } }

filter {
    grok { 
    match => [ "message", "%{IP:client_ip} %{USER:ident} %{USER:auth} [%{HTTPDATE:apache_timestamp}] \"%{WORD:method} %{NOTSPACE:request_page} HTTP/%{NUMBER:http_version} %{NUMBER:server_response} %{NUMBER:bytes}" 
    ] 
 } }

Kentatoi · Answer 1 · 13 марта 2019

  input { stdin {} }

filter {
   grok {
     match => { "message" => "%{IP:client_ip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:apache_timestamp}\] \"%{WORD:method} /%{NOTSPACE:request_page} HTTP/%{NUMBER:http_version}\" %{NUMBER:server_response} %{NUMBER:bytes}" }
        }
}

output { stdout { codec => rubydebug } }
~

Каждый раз!Я узнал, как дать лучшее представление.Вот моя проблема .. спасибо

Logstash Grok Фильтр доступа к журналу

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Logstash Grok Фильтр доступа к журналу

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы