我有一个这样的日志文件。它很大,所以我只想为'CRON' 'grep' '
Dec 28 22:30:01 user-desktop CRON[65168]: (root) CMD ([ -x /etc/init.d/anacron ] && if [ ! -d /run/systemd/system ]; then /usr/sbin/invoke-rc.d anacron start >/dev/null; fi)
Dec 28 22:33:36 user-desktop systemd[1]: Started Run anacron jobs.
Dec 28 22:33:36 user-desktop anacron[65194]: Anacron 2.3 started on 2022-12-28
Dec 28 22:33:36 user-desktop anacron[65194]: Normal exit (0 jobs run)
Dec 28 22:33:36 user-desktop systemd[1]: anacron.service: Deactivated successfully.
Dec 28 23:17:01 user-desktop CRON[65587]: (root) CMD ( cd / && run-parts --report /etc/cron.hourly)
我想只捕获行有"CRON"在里面。我可以在后面用grok映射
%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{SYSLOGPROG:syslog_program}
可以吗?
%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} CRON[%{NUMBER:VehicleID}]: %{GREEDYDATA:syslog_program}