Logstash не удалось создать индекс отчета вasticsearch

Question

У меня есть шаблон журнала и фильтр, пожалуйста, предложите шаблон соответствия

filter {
  grok {
  match => {"message" => "please suggest me a filter"}
  add_field => [ "received_at", "%{@timestamp}" ]
  add_field => [ "received_from", "%{host}" ]
   }

}

2019-03-25 19:30:47 [ОШИБКА] demo.efdms.controller.HomeController - [ip]: 172.16.16.1 [DeviceInfo]: [сообщение]: устройство не добавлено в инвентарь

Answer 1

Это один из способов сделать это.

^%{TIMESTAMP_ISO8601:timestamp}\s*\[%{LOGLEVEL:loglevel}\]\s*%{IPORHOST:host}\s*-\s*\[ip\]:%{IPORHOST:ip}\[DeviceInfo\]:\s*\[message\]:%{GREEDYDATA:message}$

Я не думаю, что вам нужно поле "add_field", поскольку у вас уже есть эта информация в других полях.