0

Apache ログをカスタム形式で解析するように logstash をセットアップしようとしています。

%{URIHOST} がインポートされたデータに入らないことを除いて、この grok フィルターは機能します。

grok {
    match => { "message" => "%{URIHOST} %{COMBINEDAPACHELOG}" }
}

ログ ファイルの生の行は次のようになります。

yards-dev.oursite.org:80 192.168.1.114 - - [15/Apr/2015:10:49:28 -0400] "GET /about-us/chapters/dc HTTP/1.0" 200 8463 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0) Gecko/20100101 Firefox/37.0"

「yards-dev.oursite.org」をインデックス付きフィールドにキャプチャしようとしています。

4

1 に答える 1

0

:fieldname の追加が機能しました

 match => { "message" => "%{URIHOST:hostname} %{COMBINEDAPACHELOG}" }

:hostname を使用したのは、既にマッピングがあるが、データで 0.0.0.0 として表示される :host を使用しようとしたときに、キャプチャされた値が役に立たない値に追加されたためです。

host=0.0.0.0 のような役に立たない値や、削除したいデータが入力されない値があります。次にそれを理解する必要があると思います。

于 2015-04-15T19:27:20.320 に答える