Swaggy_Z0306

2019-08-27 14:10

采纳率: 100%

浏览 1.4k

已采纳

logstash日志解析求一个grok正则表达式

10.77.102.130 id=tos time="2019-08-21 18:22:15" fw=TopsecOS pri=7
日志例子如上，要求输出成下面的样子，正则表达式应该怎么写。是不是要写自定义正则？求大佬帮助！！！
图片说明
像图2 一个字段一个值的隔行输出
比如"host" => "localhost"
id=tos就输出成"id"="tos"单独为一行
fw=TopsecOS就输出成"fw"="TopsecOS"单独为一行

点赞
写回答
关注问题
收藏
分享
邀请回答

2条回答默认最新

私信

码龄粉丝数影响力 0

被点赞

被采纳

采纳率
傲慢程序员 2019-08-27 16:06

已采纳
(?<sourceIP>.*)\sid=(?<id>.*)\stime="(?<time>.*)"\sfw=(?<fw>.*)\spri=(?<pri>.*)

匹配得比较粗暴，凑合自己调吧
点赞评论
分享

评论

评论

登录后可回复...
私信

码龄粉丝数影响力 0

被点赞

被采纳

采纳率
zhouchao6 2019-08-27 15:57

已采纳

"message" => "^%{IP:sourceIP} id=%{WORD:id} time=\"%{(%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:%{MINUTE}:%{SECOND}):time}\" fw=%{WORD:fw} pri=%{NUMBER:pri}$"
时间匹配可能有问题，不太会（或者用QS《带引号的字符串代替》）
你可以参考下grok自带规则
https://blog.51cto.com/showing/1927194?source=dra
https://blog.csdn.net/cui929434/article/details/94390617

点赞评论
分享

评论

评论

登录后可回复...

提交关注问题

相关推荐

logstash日志解析求一个grok正则表达式正则表达式
2019-08-27 14:10

回答 2 已采纳 ``` (?.*)\sid=(?.*)\stime="(?.*)"\sfw=(?.*)\spri=(?.*) ``` 匹配得比较粗暴，凑合自己调吧 ![图片说明](https://img-
正则表达式请教：以连续换行开头，特定字符结尾 chrome firefox javascript jquery 正则表达式
2020-12-22 16:50

回答 1 已采纳 (\r?\n|\r){2,}[\s\S]*(?=参考答案)
Logstash 读取日志文件，增量
2018-01-11 03:10

回答 7 已采纳 ![图片说明](https://img-ask.csdn.net/upload/201801/12/1515719652_537806.png) ## start_position 参数放在fi
logstash处理nginx日志
2017-09-19 06:12

回答 3 已采纳或者直接使用正则的方式 http://www.cnblogs.com/Orgliny/p/5592186.html
elk配置完成后logstash没有抓到日志问题 elasticsearch 有问必答
2021-03-12 15:45

回答 2 已采纳先检查两个地方吧： 1./var/log/messages 和 /var/log/secure 下面有数据写入（如果有数据写入，可以把logstash output 改为打印到控制台，看看logs
Logstash csvparsefailure和dateparsefailure php
2017-02-20 03:53

回答 1 已采纳 Your problem can be solved very simply by changing the name of your timestamp variable since @time
logstash启动出现Faild to elasticsearch
2020-03-05 17:31

回答 1 已采纳版本不合适。把版本换成mysql-connector-java-8.0.15.jar吧。
安装logstash.bat闪退 elasticsearch lucene 中文分词全文检索搜索引擎
2019-07-25 23:20

回答 1 已采纳这个帖子可以解决你的问题 https://github.com/elastic/logstash/issues/8901
关于logstash从mysql导数到es中之后，sql中写的字段自动变小写，导致es查询不出数据。 elasticsearch
2018-05-07 03:18

回答 2 已采纳结贴，我自己知道了。
win系统 logstash2.1.3 执行conf 文件报异常 redis
2016-03-15 07:36

回答 1 已采纳 redis的ip 端口等是否正确，redis服务器是否正确启动