Grok自定义模式

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Grok自定义模式相关的知识,希望对你有一定的参考价值。

我的logstash中有简单的消息:

2018-09-30 20:25:07.708  INFO 8013 --- [nio-8443-exec-3] c.e.demo.controller.UsuarioController    : INICIO CHAMADA | 311

我想从此消息中删除以下字段。

"311"

enter image description here

答案

你快到了。你只需要用反斜杠逃避管道|字符(否则它匹配801之后的INFO),如下所示:

: INICIO CHAMADA | (?<identificador_chamada>[0-9]{3})
                 ^
                 |
             add this

你会得到这个

{
  "identificador_chamada": [
    "311"
  ]
}

以上是关于Grok自定义模式的主要内容,如果未能解决你的问题,请参考以下文章

如何在自定义 grok 模式中引用正则表达式组?

在 Kibana 仪表板中创建单独部分的 Grok 模式

未找到 logstash grok 过滤器模式

[Java异常的GROK模式

logstash / grok 自定义字段

grok pattern 自定义