试图通过logstash解析特定的日志格式,我真的在寻找一些指针。我已经让logstash读取文件并将输出发送到ElasticSearch,但我需要将日志分解为其他字段,以便我实际上可以对数据做一些事情..
我的日志采用以下格式,我正在尝试捕获标签之间的值
<Tag>5<\Tag><Tag1>999<\Tag2><User>abcde<\User>
关于我应该如何解析这个文件的任何想法......
谢谢
我现在发现了“mutate”和“gsub”,但由于某种原因,我收到以下错误。这是我的过滤器。
过滤器{如果[类型] ==“xcp-stats”{
mutate {
gsub => [
"fieldname", "/", "\\"
]
}
# match timestamp and add to variable @timestamp
# Current 20150519T06:43:04
date {
match => [ "logdate", "yyyyMMdd HH:mm:ss" ]
target => "@timestamp"
}
grok {
match => [ "message", "(?<usercount>[0-9])" ]
}
}
}
每次通过 --configtest 参数解析时都会收到以下错误。
错误:过滤器 {
有任何想法吗