Фильтр Logstash: синтаксис

81
6

Недавно я начал изучать logstash, и синтаксис меня сбивает с толку. например: для соответствия у меня есть разные коды:

match => [ "%{[date]}" , "YYYY-MM-dd HH:mm:ss" ]
match => { "message" => "%{COMBINEDAPACHELOG}" }
match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ]

Что означает каждый из этих ключей ("% {[дата]}", "сообщение", "метка времени"). И где я могу найти правильную документацию, которая объясняет все ключевые слова и синтаксис. Пожалуйста, помогите и укажите ссылки, если это возможно.

спросил(а) 2015-11-21T14:47:00+03:00 4 года, 11 месяцев назад
1
Решение
130

Фильтр grok {} имеет параметр соответствия, который принимает поле и шаблон. Он применит шаблон, пытаясь извлечь из него новые поля. Второй пример - от grok, поэтому он попытается применить шаблон COMBINEDAPACHELOG к тексту в поле "сообщение".

Документ для grok {} находится здесь, и есть также подробные блоги.

Два других примера выглядят так, как будто они относятся к фильтру date {}, что делает аналогичную вещь. Он берет поле, содержащее строку, которая представляет дату, применяет данный шаблон к этому полю и (по умолчанию) заменяет значение в поле @timestamp.

Документ для даты {} приведен здесь и здесь.

ответил(а) 2015-11-21T23:40:00+03:00 4 года, 11 месяцев назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема