Я пытаюсь интегрировать logstash в наше приложение, где я включаю следующий фрагмент шаблона в файл custompattern.
Path: <path>/custom_pattern -- This is custom pattern file. I include this path in conf.
Content: ACCESSLOGPARSE \[%{HTTPDATE:timestamp}\] %{IPORHOST:clientip} (?: xff=%{IPORHOST:xffIp})
Мой файл конфигурации logstash:
input {
file{
path => "/tmp/jboss-logs.log"
start_position => beginning
}
}
filter {
if [path] =~ "jboss" {
mutate { replace => { "type" => "jboss_access"}}
grok {
patterns_dir => "<dir path>"
match => { "message" => "%{ACCESSLOGPARSE}" }
}
}
date {
match => [ "timestamp", "dd/MMM/yyyy:HH:mm:ss Z" ]
}
}
output {
elasticsearch { host => localhost }
stdout { codec => rubydebug }
}
Содержимое моего файла jboss-logs.log:
[09/Jan/2015:00:00:02 +0000] 127.0.0.1 xff=-
[09/Jan/2015:00:10:17 +0000] 100.20.10.11 xff=100.40.11.3
Когда я запускаю logstash, я получаю следующий вывод, в котором журнал не анализируется.
{
"message" => "[09/Jan/2015:00:00:02 +0000] 127.0.0.1 xff=-",
"@version" => "1",
"@timestamp" => "2015-01-20T15:30:10.865Z",
"host" => "Salvador",
"path" => "/tmp/jboss-logs.log",
"type" => "jboss_access",
"tags" => [
[0] "_grokparsefailure"
]
}
{
"message" => "[09/Jan/2015:00:10:17 +0000] 100.20.10.11 xff=100.40.11.3",
"@version" => "1",
"@timestamp" => "2015-01-20T15:30:10.869Z",
"host" => "Salvador",
"path" => "/tmp/jboss-logs.log",
"type" => "jboss_access",
"tags" => [
[0] "_grokparsefailure"
]
}
Проблема в том, что ключ «xff» в журнале может содержать ip или «-». Я тоже пробовал со следующими шаблонами. Но они тоже не работали.
ACCESSLOGPARSE \[%{HTTPDATE:timestamp}\] %{IPORHOST:clientip} (?: xff=%{IPORHOST:xffIp}|-)
and
ACCESSLOGPARSE \[%{HTTPDATE:timestamp}\] %{IPORHOST:clientip} (?: xff=%{IPORHOST:xffIp}|xff=-)
Что не так с парсером для этого шаблона?