基本上,我正在设置一个Elasticsearch-Logstash-Kibana(elk(堆栈来监控系统日志。现在我必须为 logstash 编写 grok 模式。
这是我的日志示例:
May 8 15:14:50 tileserver systemd[25780]: Startup finished in 29ms.
这就是我的模式(还(:%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{SYSLOGPROG:program}通常我也使用%{DATA:text}作为消息,但它仅适用于下面的链接。
我正在使用 Test grok 模式来测试我的模式,这 3 个工作正常,但消息前面有一个冒号(来自 PID 之后(,我不希望它在那里。我该如何摆脱它?
试试这个:
%{SYSLOGTIMESTAMP:zeit} %{HOSTNAME:host} %{GREEDYDATA:syslog_process}(:) %{GREEDYDATA:message}