标签:
自定义grok格式
在conf 文件的文件夹同级目录下,一般是在patterns 文件夹下,建立自己的pattern 文件,比如extra 文件
# contents of ./patterns/postfix:
POSTFIX_QUEUEID [0-9A-F]{10,11}
使用举例,针对日志格式:Jan 1 06:25:43 mailserver14 postfix/cleanup[21403]: BEF25A72965: message-id=<20130101142543.5828399CCAF@mailserver14
conf 配置:
grok{
patterns_dir => "./patterns"
match => [ "message", "%{SYSLOGBASE} %{POSTFIX_QUEUEID:queue_id}: %{GREEDYDATA:syslog_message}" ]
}
}
结果为:
匹配正确
标签:
原文地址:http://my.oschina.net/pingjiangyetan/blog/410603
