grok マッチング述語で 3 番目の部分を使用する人がいることに気付きました。
%{NUMBER:response_status:int}
^--- ??
最初の 2 が何を意味するかは明らかで、3 番目の部分は結果の明示的な型であると推測できますが、その 3 番目の部分が何であるかの包括的な説明を見つけることができません。
Logstash のドキュメントとGrok のドキュメントの両方をチェックインしましたが、包括的な構文記述の痕跡は見当たりません。
参照はありますか?
更新日:
これが機能し、構文的に正しい例を次に示します。
構成ファイルの場合:
input { stdin { } }
filter {
grok {
match => [
"message", "%{NUMBER:a_number:float}"
]
}
}
output { stdout { codec => rubydebug } }
の出力12345は次のとおりです。
{
"message" => "12345",
"@version" => "1",
"@timestamp" => "2014-10-08T01:08:49.087Z",
"host" => "logstash",
"a_number" => 12345.0
}
削除すると:float、次のように変わります
{
"message" => "12345",
"@version" => "1",
"@timestamp" => "2014-10-08T01:09:46.055Z",
"host" => "logstash",
"a_number" => "12345"
}
これは、少なくとも logstash v1.4.2 に当てはまります。