GROH

Question

'daki LALGE paterni logstash ve grok’da yeni ve bir modelle ilgili sorularım var. Apache hata günlüklerim için bir grok kalıbı oluşturmaya çalışıyorum. Ancak, aşağıdaki davranış hakkında biraz kafam karışık. i http://grokdebug.herokuapp.com/ altta yatan maçı kullanırsanız

:

%{LOGLEVEL:severity%{IPV4:clientip}%{GREEDYDATA:errormsg} 

aşağıdaki günlük pasajı üzerinde hiçbir eşleşme:

[2016 Sal Nis 10 09:28:01] [hata ] [istemci 111.11.111.111] Dosya yok:

Artık tüm desenler çalışmak /var/www/html/favicon.ico i% çalıştırırsanız {LOGLEVEL: ciddiyeti} veya% {IPV4: clientip}% {GREEDYDATA: errormsg} ayrı ayrı. Ama eğer birlikte çalışırsam, "maç yok" iadesi alırım.

Bunun gerçekleştiğini düşünüyorum çünkü% {LOGLEVEL: ciddiyet} günlüğün geri kalanını keser ama nedenini anlayamıyorum.

Neyi yanlış yaptığım konusunda herhangi bir fikrin var mı?

Önceden teşekkür ederiz.

Answer 1

Tüm unanchored düzenli ifadelerde olduğu gibi, eşleştirmeye başladığınızda, dizedeki her şeyle eşleşmeniz gerekir. Modelinizde, örneğinizde bulunan boşlukları veya parantezleri hesaba katmadınız. (Ayrıca "ciddiyet" sonra bir} eksikliğinin bir kopya & birleştirme hatası olduğu varsayılmaktadır).