問題タブ [logstash-grok]

Logstash と grok を使用して、SQL サーバーのエラー ログをフィルタリングしようとしています。Logstash 1.3.3 は、NSSM と JRE6 を使用して Windows サービスとして実行されています。私の設定ファイルは以下です

ログ ファイルの内容のサンプルを以下に示します。

イベントは Kibana で表示されますが、折りたたむとメッセージは {"message":"\u00002\u00000\u00001\u00004... のように表示されます。

テーブル ビューを展開すると、代わりにイベント メッセージがテキストとして表示されます。閲覧時のイベントの生データは以下の通り。

メッセージのエンコーディングが Grok によるメッセージの適切なフィルタリングを妨げているかどうかはわかりません。

Grok を使用してこれらのイベントをフィルタリングできるようにしたいのですが、どうすればよいかわかりません。

詳細情報:

ログ ファイルのコピーを UTF-8 として作成したところ、フィルターは正常に機能しました。したがって、それは間違いなく文字セットの問題です。ログファイルの正しい文字セットが何であるかを判断する必要があると思いますが、それは機能するはずです。

grok を使用して apache エラー ログをフィルタリングすることを理解しようとしています。

私のエラーログファイルは次のようになります:

grok を使用してそれをフィルタリングするにはどうすればよいですか? 私はこれまでのところ持っています：

Grok デバッガーを使用してみましたが、何をしているのかほとんどわかりません。私は文字通りlogstashの初心者です。

次のようなログエントリがあります...

行を正しく解析する grok フィルターがあります...

「body」が「***Request Completed***」で始まる場合、「body」から追加データを解析したいと思います。つまり、「elaspsedms」と「uri」です。これどうやってするの？

他の場所では、このように grok フィルターに別のメッセージ エントリを追加することが提案されました...

...これは機能しますが、タイミング ラインの場合、'body' の値は設定されません。理想的には、body には常にエントリの最後の部分と iff を含めたいと思います。エントリはタイミング ラインであり、eplapsems と uri の追加の解析を実行します。

どうすればこれを行うことができますか？

フィールドを解析する手段はありますか? 'body' をlapsedms/uri に解析しようと試みることができるように、それが失敗した場合は続行します。または、grok 式でフィールドの一致をネストする手段はありますか?

考え？

編集:「体」が常に設定されていることを確認するのではなく、「elaspedms」が設定されている場合、「elaspedms」と「uri」から体を作成できますか?