我有一个小型 POC 为 Logstash 工作,通过 RSyslog 消耗大量 Windows 事件和平面日志文件,到目前为止,这要感谢 Logstash/Grok 可用的优秀文档!
在我努力记录和写博客的过程中,我遇到了一个我似乎无法通过的讨厌的日志条目——即使是优秀的在线 GrokDebugger 也无法识别这些讨厌的引用字符串。
这是日志文件中的示例行,其中仅将片段标识为 %{QS} 引用的字符串。
<![LOG[Persisting request for program SU Scan for Updates package XXXXXXXX in state Running]LOG]!><time="14:21:46.455+480" date="08-09-2010" component="execmgr" context="" type="1" thread="3328" file="executionrequest.cpp:800">
GrokDegugger 将其识别为:
<!%{SYSLOG5424SD}LOG]!><time=%{QS} date=%{QS} component=%{QS} context="" type="1" thread="3328" file="%{JAVACLASS}:800">
理想情况下,我想像这样提取事件:
- @message = "对程序 SU 扫描更新包 XXXXXXXX 处于运行状态的持续请求"
- @timestamp = 14:21:46.455+480
- @日期 = 02-16-2010
- @组件 = 执行管理器
- @线程 = 3328
社区中是否有其他人成功地从 System Center 日志中解析/提取事件?
提前致谢!