Выкройка Logstash Grok

Я новичок в logstash и пытаюсь настроить один файл журнала GROK, может кто-нибудь, пожалуйста, посоветуйте мне, как настроить этот журнал.

Запись в журнале:

configmgr.service.configservice - revoke_app_config - Revoking config for app

Я хочу разобрать его таким образом, чтобы он заполнял следующие поля как:

PROGMODULE = configmgr.service.configservice PROGBLOCK = revoke_app_config ACTION = Revoking config for app


logstash logstash-grok
person Narendra522    schedule 24.07.2015    source источник
comment
Пожалуйста, расскажите мне, как написать собственный Grok   -  person Narendra522    schedule 24.07.2015
comment
Пожалуйста, следуйте ответу, который дал aairey   -  person Anilkumar Bathula    schedule 28.07.2015

Ответы (1)


arrow_upward
1
arrow_downward

Вы пробовали что-то подобное ниже?

%{NOTSPACE:PROGMODULE} - %{WORD:PROGBLOCK} - %{GREEDYDATA:ACTION}
person aairey    schedule 24.07.2015
comment
% {WORD: ACTION} соответствует только отзыву. Попробуйте в конце% {GREEYDATA: ACTION}. - person Alain Collins; 24.07.2015
comment
Это GREEDYDATA, но вы правы :) Я скорректировал свой ответ. - person aairey; 25.07.2015
comment
Ха. Я всегда неправильно пишу это! Жаль, что я не могу редактировать мой комментарий. - person Alain Collins; 25.07.2015