#logstash #logstash-grok #logstash-configuration
#logstash #logstash-grok #logstash-конфигурация
Вопрос:
Я новичок в создании фильтра logstash: может кто-нибудь, пожалуйста, предложить изменения в grok filter пытался создать фильтр grok logstash для моего плагина ввода ping exec.. но не удается получить проанализированное сообщение, ниже приведен фильтр, который я применил, и ошибка
«»сообщение
Запрос 192.168.10.21 с 32 байтами данных: время ожидания запроса истекло.
Статистика Ping для 192.168.10.21: пакеты: отправлено = 1, получено = 0, потеряно = 1 (100% потеря),
»»
Pinging 192.168.10.21 with 32 bytes of data:
Ответ от 192.168.10.21: байты = 32 время = 18 мс TTL = 64
Статистика Ping для 192.168.10.21: Пакеты: отправлено = 1, получено = 1, потеряно = 0 (0% потерь), приблизительное время прохождения в оба конца в миллисекундах:
Я хочу разделить как «Время ожидания запроса истекло», так и достижимое со значением задержки
Пробовал с этим фильтром ниже
filter { grok { match => { «message» => «%{IP: client} %{WORD:метод} %{URIPATHPARAM:запрос} %{ЧИСЛО: байты} %{ЧИСЛО: длительность}» } } }
получение ошибки ниже
"@timestamp" => 2020-11-10T11:10:28.479Z
"@version" => "1",
"tags" => [
[0] "_grokparsefailure"
Комментарии:
1. Не могли бы вы уточнить, какие журналы вы хотите фильтровать с помощью grok?
2. @sourav Atta мой журнал представляет собой сбор выходных данных ping ‘сообщение 1, отправляющее 192.168.10.21 с 32 байтами данных: Ответ от 192.168.10.21: байты = 32 время = 18 мс TTL = 64 Статистика Ping для 192.168.10.21: Пакеты: отправлено = 1, получено = 1, потеряно = 0 (0% потерь), приблизительноевремя прохождения в оба конца в миллисекундах: минимум = 18 мс, максимум = 18 мс, среднее значение = 18 мс Другой шаблон сообщения журнала: сообщение 192.168.10.211 с 32 байтами данных: время ожидания запроса истекло. Статистика Ping для 192.168.10.211: Пакеты: отправлено = 1, получено = 0, потеряно = 1 (100% потеря), ‘