0

我正在尝试设置 logstash 以自定义格式解析 apache 日志。

这个 grok 过滤器有效,除了 %{URIHOST} 没有进入导入的数据。

grok {
    match => { "message" => "%{URIHOST} %{COMBINEDAPACHELOG}" }
}

日志文件的原始行如下所示:

yards-dev.oursite.org:80 192.168.1.114 - - [15/Apr/2015:10:49:28 -0400] "GET /about-us/chapters/dc HTTP/1.0" 200 8463 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"

我正在尝试将“yards-dev.oursite.org”捕获到索引字段中。

4

1 回答 1

0

添加 :fieldname 有效

 match => { "message" => "%{URIHOST:hostname} %{COMBINEDAPACHELOG}" }

我使用 :hostname 是因为当我尝试使用 :host 时,它已经有一个映射但在我的数据中显示为 0.0.0.0 我捕获的值被附加到无用的值。

有一些无用的值,比如 host=0.0.0.0 和我想删除的永远不会填充的值,我想这是接下来要弄清楚的事情。

于 2015-04-15T19:27:20.320 回答