Logstash grok Muster für benutzerdefinierte Log-Text-Datei

Question

Ich bin neu in Logstash, und ich versuche, grok Muster für meine Protokolldatei, die vom Typ Text ist. Die Daten in der Datei protokolliert ist wie folgt:

Timestamp: 24-03-2016 19:59:11 
Message: Received request to get data 
Title:GetData() 
Machine: LTPN 
---------------------------------------- 
Timestamp: 24-03-2016 20:15:34 
Message: ERROR [08001] [Microsoft][ODBC SQL Server Driver][DBNETLIB]SQL Server does not exist or access denied. 
ERROR [01000] [Microsoft][ODBC SQL Server Driver][DBNETLIB]ConnectionOpen (Connect()). 
ERROR [01S00] [Microsoft][ODBC SQL Server Driver]Invalid connection string attribute 
Title:GetData() 
Machine: LTPN 
---------------------------------------- 

ich möchte es grok derart, dass sie die unteren Felder wie bevölkern sollten:

Timestamp = 24-03-2016 20:15:34 
Messsage = ERROR [08001] [Microsoft][ODBC SQL Server Driver][DBNETLIB]SQL Server does not exist or access denied. 
ERROR [01000] [Microsoft][ODBC SQL Server Driver][DBNETLIB]ConnectionOpen (Connect()). 
ERROR [01S00] [Microsoft][ODBC SQL Server Driver]Invalid connection string attribute 
Title = GetData() 
Machine = LTPN 

mir helfen könnte jemand bei der Schaffung bitte die Muster?

Answer 1

Der erste Schritt besteht darin, Ihre mehrzeilige Nachricht in einem einzigen Logstash-Ereignis zu kombinieren. Abhängig davon, wie die Daten zum Logstash kommen, können Sie dies möglicherweise an diesem Ende tun (Dateibeat unterstützt Multiline). Wenn nicht, überprüfen Sie den mehrzeiligen Codec.

Sobald Sie die Zeilen kombiniert haben, gehen Sie zum grok {} Filter, um einen regulären Ausdruck anzuwenden, der die gewünschten Felder erzeugt.