了解grok-pattern为高级IIS日志配置LogStash

Question

我从正常的IIS日志切换到高级IIS日志，并且在将日志条目正确解析到我的Elastic Search/Kibana安装程序时遇到一些麻烦。

有问题的条目是cs_cookie条目。

该值的条目可以是这样的：

".ASPXANONYMOUS=lCoa4IyW0AEkAAAAMWQzM2Y3YTktZTE4MC00N2Q0LWFjNzEtMmQ3NzFlODk2ZDA50; DNNPersonalization=<profile><item key=""Usability:UserMode9"" type=""System.String, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b766a5c561934e089""><string>VIEW</string></item></profile>" 

那么它包含多个空格和引号。我用grok debugger但找不到解决方案，请告诉我。

Answer 1

要建立模式，请从左侧开始，并在向右移动时检查每个部分。

从％{GREEDYDATA：remaining}开始，它会将所有内容都匹配到称为“余数”的字段中。

你的样本串报价开始，所以补充说：

"%{GREEDYDATA:remainder} 

现在剩余部分将不会有最初的报价了。

下一张看起来像一个键/值对用分号结束，因此补充说：

"%{NOTSPACE:key1}=%{NOTSPACE:value1}; %{GREEDYDATA:remainder} 

看什么留在“剩女”显示，在较高的水平，另一个关键/值对。您可以将其分开，或者添加更详细的解析以从第二个值中获取片段。由于您的示例实际上是两个键/值对，所以您可以使用kv {}筛选器进行初始分割，然后根据需要对这些分割块进行分割。{} {} {} {}}}。