Logstash/Grok で利用できる優れたドキュメントのおかげで、Logstash で多数の Windows イベントとフラット ログ ファイルを使用する小さな POC が動作しています。
この経験を文書化し、いつかブログに書こうとする私の努力の中で、私は過去を乗り越えることができないように見える厄介なログエントリに遭遇しました.優れたオンラインのGrokDebuggerでさえ、これらの厄介な引用符で囲まれた文字列を識別できません.
以下は、部分が %{QS} 引用符で囲まれた文字列としてのみ識別されているログ ファイルのサンプル行です。
<![LOG[Persisting request for program SU Scan for Updates package XXXXXXXX in state Running]LOG]!><time="14:21:46.455+480" date="08-09-2010" component="execmgr" context="" type="1" thread="3328" file="executionrequest.cpp:800">
GrokDegugger はこれを次のように認識します。
<!%{SYSLOG5424SD}LOG]!><time=%{QS} date=%{QS} component=%{QS} context="" type="1" thread="3328" file="%{JAVACLASS}:800">
理想的には、次のようにイベントを抽出したいと思います。
- @message = "Running 状態のプログラム SU Scan for Updates パッケージ XXXXXXXXX に対する持続的な要求"
- @タイムスタンプ = 14:21:46.455+480
- @date = 02-16-2010
- @コンポーネント = execmgr
- @スレッド = 3328
コミュニティ内で、System Center ログからのイベントの解析/抽出に成功した人はいますか?
前もって感謝します!