#logstash-grok
Вопрос:
Получение системного журнала от сетевых устройств CISCO. Шаблон приведен ниже.
15749: 7 июля 02:19:38.884: %AUTHMGR-5-SECURITY_VIOLATION: Нарушение безопасности на интерфейсе GigabitEthernet2/0/10, обнаружен новый MAC-адрес (8cec.4b23.3815).AuditSessionID Не назначен
В приведенном выше сообщении шаблона «отображается новый MAC-адрес (8cec.4b23.3815)» является необязательным. Если «новый MAC-адрес () виден», нужен шаблон grok, чтобы извлечь macid.
Попробовал ниже шаблона grok,
- %{GREEDYDATA:NRQ} (виден новый MAC-адрес (%{NOTSPACE:macid}))?%{ДАННЫЕ О ЖАДНОСТИ:NR}
- %{GREEDYDATA:NRQ} (виден новый MAC-адрес (%{ДАННЫЕ:macid}))?%{ДАННЫЕ О ЖАДНОСТИ:NR}
Но, не в состоянии извлечь macid, используя приведенный выше шаблон grok