我在使用Grok过滤器时遇到了问题。下面是我的过滤器正在按预期工作,直到在课程名称中没有$。当线程名称如PropertiesReader $它失败。我还能使用什么,以便它可以用特殊字符解析类名?
filter {
grok {
match => [ "message", "%{TIMESTAMP_ISO8601:LogDate} %{LOGLEVEL:loglevel} %{WORD:threadName}:%{NUMBER:ThreadID} - %{GREEDYDATA:Line}" ]
}
json {
source => "Line"
}
mutate {
remove_field => [ "Line" ]
}
}
您正在使用WORD作为不含特殊字符的线程名称模式。为了证实这一点,让我们看看这种模式:WORD \b\w+\b
使用自定义模式。只是descibe它在这样的文件:
MYPATTERN ([A-z]+\$?)
然后你可以使用它在你的配置是这样的:
grok {
patterns_dir => ["/path/to/pattern/dor"]
match => [ "message", "%{TIMESTAMP_ISO8601:LogDate} %LOGLEVEL:loglevel} %{MYPATTERN:threadName}:%{NUMBER:ThreadID} - %GREEDYDATA:Line}" ]
}
可以找到有关在docs
您不限于grok模式名称。你可以做任何正则表达式。例如,代替%{WORD:threadName},您可以输入(?<threadName>[^:]+),该字符表示匹配任何不是:的字符,并将其指定给threadName。
定制模式的更多信息如果您的threadName不包含空格或冒号,您也可以使用%{DATA:threadName}而不是%{WORD:threadName}。
谢谢它的工作。 – BobCoder