В основном я настраивал стек Elasticsearch-Logstash-Kibana (elk) для мониторинга системных журналов. Теперь я должен написать шаблон grok для logstash.
Вот пример моего журнала:
May 8 15:14:50 tileserver systemd[25780]: Startup finished in 29ms.
И это мой шаблон (пока):
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{SYSLOGPROG:program}
Обычно я также использую %{DATA:text} для сообщения, но оно просто работает по ссылке ниже.
Я использую Проверка шаблонов Grok , чтобы проверить мои шаблоны, и эти 3 работают нормально, но перед сообщением стоит двоеточие (после PID), и я не хочу, чтобы оно было там.
Как мне от этого избавиться?