Фильтр Logstash GROK для журналов tomcat

Я новичок в elk, мне нужен шаблон, который может найти "transactionid следующее значение из журналов tomcat и создать отдельное поле

образцы журналов, как показано ниже ...

2018-03-14 10:58:36,853 INFO so:165 - Female Value : 0.084370888769626617 for transactionId ABCsdf62969
2018-03-14 10:58:36,853 INFO so:165 - White Value : 0.90355902910232544 for transactionId ABtgF62969
2018-03-14 10:58:36,853 INFO so:165 - Black Value : 0.001742142834700644 for transactionId ZBCBfg2969
2018-03-14 10:58:36,853 INFO so:165 - Asian Value : 0.0055485325865447521 for transactionId TBCBF62969
2018-03-14 10:58:36,853 INFO so:165 - Hispanic Value : 0.079676181077957153 for transactionId L45BF62969
2018-03-14 10:58:36,853 INFO so:165 - Other Value : 0.0094741648063063622 for transactionId A56BF62969

filter elastic-stack logstash logstash-grok
person Ashok Reddy    schedule 16.03.2018    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Это не сайт вопросов / ответов, на котором вы просто задаете вопрос, даже не пытаясь. По крайней мере, сначала попробуйте, а затем придумайте ошибки, которые вы получите.

Я думаю, вы новичок в этой платформе. На этот раз я дам вам образец, но сначала попытайтесь понять его, а затем поработайте самостоятельно над будущими образцами.

В вашем случае это сработает:

  grok {
     match => ["message", "%{TIMESTAMP_ISO8601:time} %{LOGLEVEL:log_level} %{GREEDYDATA:some_data} transactionId %{WORD:transaction_id}"]
  }

Старайтесь много работать. Спасибо !!

person mohdasha    schedule 16.03.2018
comment
Спасибо за быстрый ответ @Ashif, я попробовал ниже регулярное выражение, но не сработал фильтр {grok {match = ›{message =› {% {TIMESTAMP_ISO8601: time}% {LOGLEVEL: log_level}% {GREEDYDATA: some_data} transactionId% {WORD :ID транзакции}} } - person Ashok Reddy; 19.03.2018