0

我搞不清楚了 !我有一个示例 netscaler 日志,我想在弹性中使用 Grok 模式。

示例日志:

Dec 18 20:37:08 <local0.info> 10.217.31.247 CEF:0|Citrix|NetScaler|NS10.0|APPFW|APPFW_STARTURL|6|src=10.217.253.78 spt=53743 method=GET request=http://vpx247.example.net/FFC/login.html msg=Disallow Illegal URL. cn1=233 cn2=205 cs1=profile1 cs2=PPE0 cs3=AjSZM26h2M+xL809pON6C8joebUA000 cs4=ALERT cs5=2012 act=blocked

我不知道 <local0.info> 的模式 时间戳是:%{SYSLOGTIMESTAMP:timestamp},这很简单,但是下一个字符串和其他字符串呢?

我真的希望有人可以帮助我:S

4

1 回答 1

0

您可以使用Grok Debugger来调试 grok 模式。以下是示例日志的 GROK 模式:

%{SYSLOGTIMESTAMP:timestamp} \<%{DATA:data}\.%{LOGLEVEL:loglevel}\> %{IP:ip} %{DATA:data}\|src\=%{IP:source_ip} %{GREEDYDATA:payload}

让我们使用logstash 的KV Filter拆分字段负载。

kv {
           source => "payload"
           value_split => "="
           field_split => " "
           target => "msg"
         }
于 2022-02-22T09:41:20.477 回答