我在编写将不同事件中的字段提取到单个文档中的模式时遇到了问题。
我的日志就像
- 时间戳 LogLevel-ID:intValue某些文本服务:方法名称(可以更改(TextSomeID:intValue
- TimeStamp LogLevel-ID:intValue SomeText{JSON}
- TimeStamp LogLevel-ID:intValue TextURLSomeTextKeyValueRequest
- TimeStamp LogLevel-ID:intValue SomeTextTimeTake:intValue//ID:intValue对于这四个日志是唯一的
这是我想添加到单个文档中的四个不同的日志/事件但是在为其编写grok模式时出现问题
我想在Elasticsearch 中存储到单个文档字段中的粗体项目
若我们为一个日志写模式,它将不能和另外三个日志一起工作,这就是我遇到问题的地方
任何帮助都是值得的谢谢
对我来说有效的方法是在一个grok过滤器中放入多个模式
grok{match=>{"消息"=>["模式1",
"Pattern2";,
"图案3";,
"图案4";,
"图案5";,
"图案6〃]}}
谢谢