老师问一下,windows日志如何通过grok把重要信息分析到对应字段
来源:12-4 filter插件之grok简介(上)
民工来啦
2018-03-14
比如我通过winlogbeat抓到message为“错误应用程序名称: AlibabaProtect.exe,版本: 1.0.11.753,时间戳: 0x5a657111\\\\\\\\n错误模块名称: ReportEnv.dll,版本: 1.0.11.753,时间戳: 0x5a656fb4\\\\\\\\n异常代码: 0xc0000409\\\\\\\\n错误偏移量: 0x0002e6a9”,然后我如何把AlibabaProtect.exe放到应用程序字段,1.0.11.753放到版本字段,0x5a657111放到时间戳字段中去呢,求解答
写回答
1回答
-
引入 logstash 或者 es ingest pipeline 来处理,然后用 grok 匹配,如下:
错误应用程序名称: %{PROG:program},版本: %{NOTSPACE:version},时间戳: %{BASE16NUM:timestamp}
00
相似问题