Thu Sep 27 15:30:27 BST 2012:- Invalid token $_POST[custom], which indicates the amount, userid
这是我试图使用grok for logstash解析的一个日志文件。
前几个字段还可以,它似乎非常接近DATESTAMP_OTHER,但我认为英国夏令时的英国时区搞砸了。
已经做到了这一点,但不确定如何让它发挥作用!
%{DAY} %{MONTH} %{MONTHDAY} %{TIME} %([PMCEB][SD]T) %{YEAR} %{GREEDYDATA:message}
1)试用Grok调试器,它将允许您当场测试Grok模式。
2) 另外,将您的%([PMCEB][SD]T)更改为类似(?<variable_name>(BST)*)的内容。您对纯正则表达式使用了错误的语法。
3) 最重要的阅读文档。我刚才提到的所有内容都直接来自文档。
下面是我解决这个问题的方法:
TZEXPANDED (?:[PMCEB][SD]T) MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{TZEXPANDED} %{YEAR}
或者如果你喜欢:
MYCUSTOM %{DAY} %{MONTH} %{MONTHDAY} %{TIME} %{(?:[PMCEB][SD]T)} %{YEAR}
在我看来,第一个选项更好,因为你可以稍后将该模式用于其他
问候