我正在尝试为日志的以下跟踪创建grok模式:
"source":"<a href="http://twitter.com/download/iphone" rel="nofollow">Twitter for iPhone</a>"
我做过的grok模式是:
a href=\"http://twitter.com/download/(?<Client>bw+b)
这似乎在我尝试过的任何grok在线调试器中都能很好地工作。然而,当我运行logstash时,我得到了一个grok解析错误。这是我的logstash配置:
grok { match => {"message" => "a href=\http://twitter.com/download/(?<Client>bw+b)"}
你能告诉我我做错了什么吗?我不明白为什么它在logstash上不起作用,但在任何在线调试器中似乎都能起作用。
预期输出为:Client: iPhone
谢谢
我认为您可以改变您的方法,以避免处理所有/"chars;(所以
线路:
grok { match => {"message" => "a href=\http://twitter.com/download/(?<Client>bw+b)"}
可替换为:
grok { match => {"message" => "*%{URI}/download/(?<Client>bw+b).*"}