我应该总是尽量避免grok解析错误？

Question

我有我的日志，我匹配的这样一个IP地址的领域：

grok { 
    match => [ "field1", "(?:(?<field2>%{IP})|(%{IP}),\+)"] 
} 

有时这FIELD1为空，因此FIELD2从来没有在文档被创建。

这很好，因为我不希望添加该字段，除非它是有效的IP地址。

但是，如果发生这种情况，文档标记为_grokparsefailure。这不好吗？这是否意味着我做错了什么，我应该避免_grokparsefailures。

Answer 1

全部_grokparsefailure是，是维护者的面包屑，表示某些grok规则可能需要更新。在性能方面，对于与此相似的规则来说它没有意义。如果你真的不关心grok语句中的错误，你可以告诉它以其他方式标记它（tag_on_failure => ["something"]）。