#logstash #logstash-grok
#logstash #logstash-grok
Вопрос:
У меня есть файл журнала, который выглядит следующим образом :
2016 Октябрь 08 01:51:46 вечера: Некоторый текст, который я хочу записать в поле ‘text_message’ ключ1: 12. ключ2: 256. ключ3: 45.0 ключ4: 102.3 …
Таким образом, некоторые строки начинаются с даты и сопровождаются текстовым сообщением. В этом случае я хочу записать дату в поле ‘timestamp’ и текст в поле ‘text_message’.
За строками, начинающимися с даты, следует множество строк, из которых я хотел бы извлечь пары KV.
Как я могу указать это поведение if / else? Я представляю, что могу использовать Grok для строк с меткой времени и KV для остальных (мне уже удалось правильно использовать KV для строк ключ-значение).
Комментарии:
1. Можете ли вы опубликовать свою конфигурацию Logstash? Что именно не работает?
2. Вы можете использовать if/else в своей конфигурации, см. here , включая сопоставление регулярных выражений с =~