问题标签 [grok]

我有来自一个日志源的事件，它可以有几种已知的格式。举个例子

我可以match通过

我还不习惯 logstash 的格式filter。为了考虑这些可能性中的每一种，我应该建立类似的东西

还是有更紧凑的东西？（例如具有关联映射的事件的可能模式列表）

我一直在使用没有问题的模式行为，但我也想有一个提供一些逻辑的方法。现在我有

而在zcml

我在 portal_types 的内容类型的行为部分中包含了 IMyFoo。这给了我架构，但不是那个 foo() 方法。因此，我尝试使用以下代码通过阅读http://plone-training.readthedocs.org/en/latest/behaviors2.html为其添加工厂

而在zcml

但这似乎没有什么不同，或者至少，我不知道如何访问该方法。我能来的最接近的是以下内容：

我将 IMyFoo 放在 fti 的行为属性中，然后通过遍历所有行为来调用它

当然，像这样通过 FTI 并不是正确的做法。但我在这一点上不知所措。在 Archetypes 中，我只需要创建一个 mixin 类并使用我想使用的任何内容类型来继承它。我可以在这里做同样的事情，但我的理解是行为应该是它们的替代品，所以我想弄清楚如何使用这种首选方法。

我正在尝试为 postgresql 日志创建过滤器。日志记录可以是单行的，例如

或多线：

我需要提取有关时间、消息类型（上下文、详细信息、调试等）和消息文本的信息。我想需要使用多行编解码器，但我不知道如何实现它。

谢谢！

在一个香草 Plone 4.3.3 站点（Ubuntu 14.04.1LTS 上的统一安装程序）上，在使用 zopeskel 和 paste 样板文件更新 buildout.cfg 并运行 buildout 之后，我成功地在我的 src 文件夹中创建了一个 dexterity 包：

在更新 buildout.cfg（将 my.package 添加到 egg 部分并将 src/my.package 添加到 development 部分）并运行 buildout 后，我​​将内容添加到我的新包中：

我将新的内容类型称为 mytype，生成了 mytype.py、一个名为 mytype_templates 的模板文件夹等。

重新启动 Plone 和....到目前为止，很好....

然后我将模板添加到 mytype_templates 文件夹：

在 mytype.py 文件中，我添加了所有必要的导入、模式定义

等，当然还有视图、添加和编辑类：

当我以前台模式重新启动我的 Plone 站点时，我收到以下消息：

貌似 grok 成功获取了 view.pt，而不是 add.pt 和 edit.pt
这通过自定义模板得到证实。对 view.pt 的更改呈现正常，对 add.pt 和 edit.pt 的更改没有结果。Plone 使用默认的灵巧模板，因为 add.pt 和 edit.pt 没有被理解。

我通过添加以下内容找到了解决方法：

并添加到类：

和编辑类：

显然上面列出的错误消息仍然存在，但至少它可以工作，我可以自定义 add.pt 和 edit.pt。虽然我可以接受这种解决方法，但我想知道为什么只有 view.pt 被破解，而不是 add.pt 和 edit.pt。请注意，使用 Plone 4.3.1、4.3.2、4.3.3 和 4.3.4 也复制了这种（奇怪的？）行为

有什么建议么？

我是弹性搜索的新手，花了很长时间试图解决下面的问题。也许解决方案应该在文档中 - 但它不是:-(

我有在多个时区运行的服务器。

日志文件被同步到具有不同时区的服务器中，但是很容易通过时区字段（例如 {"timezone": "UTC"}）或时间格式本身（例如 {"@timestamp": “2015-02-20T12:11:56.789Z”}

我可以完全控制日志文件，并且可以在必要时调整它们。

使用 logstash 时 - 它将时间格式更改为运行它的服务器的本地时间。例如“@timestamp”=>“2015-02-21T22:26:24.920-08:00”

如何通过日志存储和弹性搜索始终从源日志文件中获取时区？（显然 - 在那之后我想在 Kibana 中拥有它）。我尝试了很多事情都没有成功。

提前致谢。

我有一个以时间戳等开头的drupal看门狗日志文件，syslog然后有一个管道分隔的我登录看门狗的东西。现在我正在编写一个 grok 过滤规则来从中获取字段。

我在消息正文中有一些 URL，因此我使用%{URI:request}例如获取这些 URL。但是，这会创建一个名为port始终为空的字段，并且我不想将很多空字段放入我的弹性搜索数据库中，所以我想知道如何摆脱看起来像这样的空数组："port": [null, null, null]。

我在日志文件中有这个 UA Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2267.0 Safari/537.36

现在我真正想要的只是抓住Windows NT 6.1（即win7）和WOW64即64位系统之类的东西。

我当前的 grok 过滤器解析出所有的东西，然后运行一个remove field丢弃不需要的东西。有没有更简单/更清洁的方法？

我有以下 logstash 配置文件，用于解析以下异常堆栈跟踪。

堆栈跟踪

配置文件：

我能够将堆栈跟踪解析为单个 logstash 字段名称消息。但是我想用第一个异常行的时间戳更新@timestamp ，即2015-03-02 09:01:51,040

目前它一直在为@timestamp使用默认时间戳

任何帮助将不胜感激。

我的日志看起来像这样

我尝试使用 grok 调试器来格式化这些信息，但没有成功。有没有办法使用 grok 获得这种格式？引用的字符串将是消息

所以我只是通过使用 grok 模式页面来使用以下格式。

我的 LogStash 的 Grok 过滤器：

它非常适合我的 Linux 登录日志：

问题是 Windows 日志（没有括号），所以我无法获取 syslog_pid：

如何更改两个日志（windows 和 linux）的 grok 过滤器并获取两个 syslog_pid？

谢谢？