grok的问题

来源：12-7 filter插件之mutate 讲解

慕运维6574123

2018-08-31

%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent}

我在debug工具中测试是对的

但是在logstash中就报grokparsefailure

写回答

2回答

慕运维6574123

提问者

2018-08-31

input{stdin{}}

filter {

# date {

# match => [ "logdate", "MMM dd yyyy HH:mm:ss" ]

grok{

match => {

"message" => "%{IPORHOST:clientip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:timestamp}\] \"%{WORD:verb} %{DATA:request} HTTP/%{NUMBER:httpversion}\" %{NUMBER:response:int} (?:-|%{NUMBER:bytes:int}) %{QS:referrer} %{QS:agent} "

}

output{stdout{codec=>rubydebug}}

144.23.4.1 - - [13/Mar/2016:02:38:26 -0400] "GET /fancy.html HTTP/1.1" 200 6146 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:51.0) Gecko/ 20100101 Firefox/51.0"

{

"@version" => "1",

"message" => "144.23.4.1 - - [13/Mar/2016:02:38:26 -0400] \"GET /fancy.html HTTP/1.1\" 200 6146 \"-\" \"Mozilla/5.0 (X11; Linux x86_64; rv:51.0) Gecko/ 20100101 Firefox/51.0\"",

"@timestamp" => 2018-08-31T03:17:42.978Z,

"host" => "hadoop02",

"tags" => [

[0] "_grokparsefailure"

]

}

慕运维6574123

rockybean

是的，谢谢老师，去了好了

2018-09-01

共2条回复

rockybean

2018-08-31

原始日志贴一下，报错信息也贴一下，logstash 相关配置也贴一下

慕运维6574123

grok debugger { "request": "/fancy.html", "agent": "\"Mozilla/5.0 (X11; Linux x86_64; rv:51.0) Gecko/ 20100101 Firefox/51.0\"", "auth": "-", "ident": "-", "verb": "GET", "referrer": "\"-\"", "response": 200, "bytes": 6146, "clientip": "144.23.4.1", "httpversion": "1.1", "timestamp": "13/Mar/2016:02:38:26 -0400" }

2018-08-31

共2条回复

Elastic Stack从入门到实践，动手搭建数据分析系统

有了Elastic Stack，不用写一行代码，你也可以玩转大数据分析！

1364 学习 · 397 问题

查看课程

相似问题

日志消费堆积,查看日志报Timeout executing grok

回答 2

grok能不能匹配多种模式？

回答 1

请问es能不能做到对txt分词后再聚合

回答 1

老师问一下，windows日志如何通过grok把重要信息分析到对应字段

回答 1

老师，java的日志应该怎么展示？

回答 1

打开慕课网App查看更多内容