0

以下の 2 行を貼り付けたログ ファイルがあります。

11 月 26 日 14:20:32 172.16.0.1 date=2014-11-26 time=14:18:37 devname=XXXXCCCFFFFF devid=XXXCCVVGFFDD logid=3454363464 type=traffic subtype=forward level=notice vd=root srcip=172.16.1.251 srcport=62032 srcintf="Combo_LAN" dstip=XXXX dstport=X dstintf="wan2" sessionid=16172588 status=close user="XX" group="Open Group" policyid=2 dstcountry="米国" srccountry="予約済み" trandisp=snat transip=XXXX transport=X service=HTTP proto=6 applist="Block_Applications" duration=11 sentbyte=2377 rcvdbyte=784 sentpkt=6 rcvdpkt=7 identidx=5 utmaction=パススルー utmevent=webfilter utmsubtype=ftgd-cat urlcnt =1 hostname="tacoda.at.atwola.com" catdesc="広告"

11 月 26 日 14:20:32 172.16.0.1 date=2014-11-26 time=14:18:37 devname=XXXXCCCFFFFF devid=XXXCCVVGFFDD logid=3454363464 type=utm サブタイプ=webfilter eventtype=ftgd_allow level=notice vd="root" policyid=2 identidx=5 sessionid=15536​​743 user="XX" srcip=XXXX srcport=X srcintf="Combo_LAN" dstip=XXXX dstport=80 dstintf="wan2" service="http" hostname="streaming.sbismart.com" profiletype="Webfilter_Profile" profile="Open Group_Policy" status="passthrough" reqtype="direct" url="/diffusion/" sentbyte=984 rcvdbyte=202 msg="URL はポリシーで許可されたカテゴリに属しています" method=domain class =0 cat=18 catdesc="仲介と取引"

私の質問は、列数と順序が固定されている場合、データを解析できることです。

しかし、構成ファイルの動的列を解析して、取得しないようにするにはどうすればよい_grokparsefailureですか?

4

2 に答える 2

1

grokparsefailure を回避するための簡単な答えは、入力に一致する有効なパターンを提供することです。とはいえ、あなたの質問は、フィールドが常にこの順序で指定されているとは限らないことを暗示しているようです。例を考えると、「kv」フィルターを使用して、これらのキーと値のペアをフィールドに分割する必要があります。

于 2014-11-29T08:26:16.990 に答える