0

通常の IIS ログから高度な IIS ログに切り替えましたが、ログ エントリをエラスティック サーチ/Kibana セットアップに正しく解析する際に問題が発生しました。

問題のあるエントリは cs_cookie エントリです。

その値のエントリは次のようになります。

".ASPXANONYMOUS=lCoa4IyW0AEkAAAAMWQzM2Y3YTktZTE4MC00N2Q0LWFjNzEtMmQ3NzFlODk2ZDA50; DNNPersonalization=<profile><item key=""Usability:UserMode9"" type=""System.String, mscorlib, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b766a5c561934e089""><string>VIEW</string></item></profile>"

そのため、複数のスペースと引用符が含まれています。grok デバッガーを使用しましたが、解決策が見つかりませんでした。アドバイスをお願いします。

4

1 に答える 1

1

パターンを構築するには、左側から開始し、右側に移動しながら各ピースを調べます。

%{GREEDYDATA:remainder} から始めます。これにより、すべてが "remainder" というフィールドに一致します。

サンプル文字列は引用符で始まるため、次を追加します。

"%{GREEDYDATA:remainder}

これで、残りの部分には最初の見積もりがなくなります。

次の部分は、セミコロンで終わるキーと値のペアのように見えるので、次のように追加します。

"%{NOTSPACE:key1}=%{NOTSPACE:value1}; %{GREEDYDATA:remainder}

「残り」に残っているものを見ると、大まかに別のキーと値のペアが示されます。それを分割するか、より詳細な解析を追加して、2 番目の値の中から断片を取得することができます。

サンプルは実際には 2 つのキーと値のペアであるため、最初に kv{} フィルタを使用して分割し、必要に応じてそれらの部分を grok{} することができます。

于 2015-04-09T19:50:05.087 に答える