问题标签 [logstash-grok]

当我在 logstash 中定义解析 apache tomcat 和应用程序日志文件的模式时，我们收到以下错误。示例日志文件是：

配置文件是：

日期 {:level=>:error} 的未知设置“时间戳”

我有一个正在添加/合并标签数组的变异。

问题是，如果[tags]以 null 开头，我最终会得到一个数组...... [ nil, 'something1', 'something2']

有没有办法[tags]在我合并之前测试 null ，如果是这样，那么替换而不是合并？

我在玩 logstash 并想尝试多行过滤器。我正在尝试解析一个可以包含多行内容的文件。我正在使用多行过滤器，但它没有按应有的方式工作。我在文件中有以下内容。

使用 Grok 模式

我在 logstash 中使用以下配置文件

当我从stdin复制粘贴上面显示的数据时，它按预期工作，即它显示输出以及包含文件中所有事件的消息。当我将相同的文件传递给文件时，它会为每个日志条目输出不同的消息，即我得到 4 个不同的日志事件（这不是我想要的）

注意：我尝试将以下选项与多线一起使用，

1. (?m) grok 中的多行模式，这也无济于事。
2. 还使用 mutate 过滤器将 "\n" 替换为 " " 并用 grok 解析它。

我认为我一直在犯一个非常愚蠢的错误，或者我错误地理解了要实施的过滤器。任何帮助将非常感激！

好的，除其他外，我从带有 grok 过滤器的日志行中找出唯一 ID 的第一段，就像这样（它只是我关心的第一段，扔掉其余的）。这个段是十六进制的，我想要它是二进制的。

该行：

过滤器是这样的：

但它只是给了我这个结果：

我曾期望将其转换为十进制：

我做错了吗？我真的卡住了。

我有一个固定位置（列）文件，其中没有分隔字段的分隔符。每个字段都有自己的起始位置和长度。以下是数据示例：

虽然我使用破折号 (-) 来显示上述数据示例，但如果实际字段短于架构中允许的长度，则实际文件包含空格。

这种情况下的架构是：

理想情况下，我会在 logstash 中获得以下字段值（没有尾随空格）

如何用 grok 解析这种文件？

我想定义一个带有多个匹配器的 logstash 过滤器，因为在一个 .log 文件中有更多类型的记录消息。当我检查我是否有一个日志文件并且我定义了更多分离的过滤器时，我只定义了在该行上运行的第一个过滤器。

我有一些 pytest 日志要处理。

日志行的示例是

我需要过滤这种类型的日志行并使键值对如下失败

请帮我在 logstash 配置文件中编写过滤器

我可以看到一些垃圾索引在logstash中正常生成。为什么？

我浏览了logstash的文档，但找不到答案。谁能启发以（字节，MB，GB）为单位测量logstash输出的字段max_value是什么？file这将是一个主要驱动因素，因为我不想创建一个 200 MB 的文件。

我正在尝试配置 logstash 来管理我的各种日志源，其中之一是 Mongrel2。Mongrel2 使用的格式是tnetstring，其中日志消息将采用以下形式

我想编写自己的 grok 模式来从上述格式中提取某些字段。我首先在上面的消息上测试我的正则表达式，正则表达式是

这匹配localhost。当我在表单中使用与 grok 模式相同的正则表达式时

并配置logstash

相同的正则表达式导致匹配86:9:localhost。我不知道我哪里出错了？是我用来测试的正则表达式引擎是基于 Python 的，但 grok 过滤器正则表达式是基于 Onigurama 的吗？

目前在grokdebug中使用以下输入对其进行测试

和以下模式

导致

我想要的地方