У меня есть системные журналы типа --
Apr 05 11:35:54 FNM00181600566-A control-path[20757]: 2019-04-05 11:35:54.168 [] [INFO] [com.command.CommandServiceVerticle|vert.x-eventloop-thread-3] [f0a447b9-cd28-4062-9635-8cebac682567] About to process Command com.contexts.eventprocessing.eventse
Apr 05 11:35:57 FNM00181600566-A xtremapp[99510]: Apr 05 11:35:57.242761 M [log_id:0][22884(23048 nb_truck_0_sym 0x7f9d108d61c0)]sym_query_select_mom_object:3010: JBOD enclosure object type, checking numbering against peer
Apr 05 11:35:55 FNM00181600566-A control-path[20757]: [INFO ] [REST] [external.rest.RequestValidationModule|vert.x-eventloop-thread-0] Validating GET request: /api/rest/level_session_volume_view?select=id,name,resource_type,family_id,source_appliance_id,destination_appliance_id,state,job_id,progress_percentage,automatic,operation_status,created_timestamp,last_sync_timestamp,estimated_completion_timestamp,rescan_hosts,recommendation_id
Все эти 3 строки находятся в одном лог-файле, но сильно отличаются друг от друга. Можем ли мы использовать ELK для извлечения содержимого файла журнала с использованием одного шаблона grok? Если есть какой-либо другой фильтр, который я мог бы использовать, пожалуйста, дайте мне знать.
Я попробовал шаблон фильтра grok:
**%{SYSLOGBASE} *%{TIMESTAMP_ISO8601} *(?<extra1>[\s*\[*\w*\]*\s]+) *%{LOGLEVEL} *(?<extra2>[\s*\w*\]*\s]+) *\[%{NOTSPACE:component}\] *%{GREEDYDATA:message}**
Но это работает только для некоторых строк журнала.
if [message] =~ // { grok {...} } else if [message] =~ // { grok {...} } else { grok {...} }. См. elastic.co/guide/en/logstash. /текущий/ - person baudsp schedule 09.04.2019