我在日志文件中有这个 UA
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2267.0 Safari/537.36
现在我真正想要的只是抓住Windows NT 6.1(即win7)和WOW64即64位系统之类的东西。
我当前的 grok 过滤器解析出所有的东西,然后运行一个remove field丢弃不需要的东西。有没有更简单/更清洁的方法?
问问题
4788 次
1 回答
4
使用useragent 过滤器来解析这些字段。
filter {
useragent {
source => "field-with-useragent"
}
}
不过,它不会提取 WOW64 字符串,但我怀疑它是否非常有用(而且我确信并非所有浏览器都提供它)。也就是说,您可以使用条件自己查找该字符串:
if [field-with-useragent] =~ /\bWOW64\b/ {
mutate {
add_tag => ["64bit"]
}
}
于 2015-02-26T18:41:52.373 回答