logstash grok 模式来监控 logstash 本身

Posted

技术标签:

【中文标题】logstash grok 模式来监控 logstash 本身【英文标题】:logstash grok pattern to monitor logstash itself 【发布时间】:2016-05-03 16:07:48 【问题描述】:

我想将 logstash.log 日志添加到我的 ELK 堆栈中,但我总是遇到 grokparsefailure。 我的模式在http://grokconstructor.appspot.com/do/match#result 上是可以的

我的 logstash conf 文件(过滤器部分)是

filter 
  if [application] == "logstash" 
    grok 
      match =>  "message" => "\:timestamp=>\"%TIMESTAMP_ISO8601:timestamp\", :message=>%GREEDYDATA:errormessage\" 
    
    date 
      match => [ "timestamp" , "yyyy-MM-dd'T'HH:mm:ss.SSSSSSZ" ]
    
  

但还是In只得到


  "_index": "logstash-2016.05.03",
  "_type": "logs",
  "_id": "AVR3WUtpT8BPcJ-gVynN",
  "_score": null,
  "_source": 
    "@version": "1",
    "@timestamp": "2016-05-03T16:00:20.708Z",
    "path": "/var/log/logstash/logstash.log",
    "host": "xxx.arte.tv",
    "application": "logstash",
    "tags": [
      "_grokparsefailure"
    ]

我想我对任何一个 ou " 都有问题,但不管有没有反斜杠,仍然是 grokparsefailure。

【问题讨论】:

【参考方案1】:

惭愧,我之前的帖子没有错误,问题是没有消息,因为另一个 conf 文件中的 remove_field 消息。

对不起,浪费时间了

【讨论】:

以上是关于logstash grok 模式来监控 logstash 本身的主要内容,如果未能解决你的问题,请参考以下文章

Logstash:日志解析的 Grok 模式示例

未找到 logstash grok 过滤器模式

在logstash中使用grok模式解析我的json文件?

Logstash grok 模式过滤自定义日志消息

Logstash: Grok 模式示例

Logstash: Grok 模式示例