0

我想让我的 grok 根据我的自定义模式输出结果。
输入:May 23 22:23:39 vd='root'

我做了一个 grok 发现,结果是:

%{SYSLOGTIMESTAMP} vd=%{QS}

我想制作一个自定义模式,将使用发现的结果参数或条件。没有成功这是我的自定义模式,对这个 grok 模式是新手。

#Myown
MYCUSTOM %{SYSLOGTIMESTAMP}[ ]%{QUOTEDSTRING}
4

2 回答 2

1

我刚刚检查了您的模式并且没问题:MYCUSTOM %{SYSLOGTIMESTAMP:myTime} vd=%{QUOTEDSTRING:myString}

您需要做的就是为 grok 提供您想要存储值的字段名称。我使用“myTyme”和“myString”并工作。

于 2013-02-17T17:31:11.477 回答
0 
%{SYSLOGTIMESTAMP:Timestamp} vd='%{DATA:String}'

也许这会有所帮助

于 2016-09-07T16:17:23.850 回答