在 Logstash 2.3.3 中,grok filter 不适用于最后一个字段。
若要重现该问题,请按如下所示创建test.conf:
input {
file {
path => "/Users/izeye/Applications/logstash-2.3.3/test.log"
}
}
filter {
grok {
match => { "message" => "%{DATA:id1},%{DATA:id2},%{DATA:id3},%{DATA:id4},%{DATA:id5}" }
}
}
output {
stdout {
codec => rubydebug
}
}
运行./bin/logstash -f test.conf
启动后,在另一个终端运行echo "1,2,3,4,5" >> test.log
我得到了以下输出:
Johnnyui-MacBook-Pro:logstash-2.3.3 izeye$ ./bin/logstash -f test.conf
Settings: Default pipeline workers: 8
Pipeline main started
{
"message" => "1,2,3,4,5",
"@version" => "1",
"@timestamp" => "2016-07-07T07:57:42.830Z",
"path" => "/Users/izeye/Applications/logstash-2.3.3/test.log",
"host" => "Johnnyui-MacBook-Pro.local",
"id1" => "1",
"id2" => "2",
"id3" => "3",
"id4" => "4"
}
您可以看到缺少id5。
我不确定这是一个错误或配置错误。
任何提示将不胜感激。
我认为这是因为DATA模式是如何定义的。它的正则表达式是 .*? ,所以它是一个懒惰的匹配。这不是错误,而是正则表达式的工作方式(示例)。
但是您可能需要提出正则表达式问题以获得准确的答案。
作为解决方案,您可以将最后一个DATA替换为NUMBER(或适合您的情况的内容)。 GREEDYDATA也会起作用。
但是,在该解决方案中,csv 或剖析筛选器可能更适合,因为更易于配置且性能更高。