极客观点
项目管理
HarmonyOS
这是我第一次尝试使用 logstash,如果问题过于基础请原谅 (;´д`)ゞ
这是我想处理的日志的样子
Processing File E:\CMR\Waybill\BOOKINGS1606.TXT 2:43:51
Starting MRSLoad 2017/11/14 2:43:52
MRSLoad done 2017/11/14 3:05:05
Processing File E:\CMR\Waybill\AIRBILL1606.TXT 3:05:05
Starting MRSLoad 2017/11/14 3:05:10
MRSLoad done 2017/11/14 4:02:16
Processing File E:\CMR\Waybill\ACTRATE1606.TXT 4:02:16
Starting MRSLoad 2017/11/14 4:02:16
MRSLoad done 2017/11/14 4:18:22
Processing File E:\CMR\Waybill\ALTHIST1606.TXT 4:18:22
Starting MRSLoad 2017/11/14 4:18:23
MRSLoad done 2017/11/14 4:18:28
Processing File E:\CMR\Waybill\BKGLIST1606.TXT 4:18:28
Starting MRSLoad 2017/11/14 4:18:28
MRSLoad done 2017/11/14 4:18:28
Processing File E:\CMR\Waybill\MISCAWB1606.TXT 4:18:28
Starting MRSLoad 2017/11/14 4:18:29
MRSLoad done 2017/11/14 4:24:45
Processing File E:\CMR\Waybill\PARTAWB1606.TXT 4:24:45
Starting MRSLoad 2017/11/14 4:24:45
MRSLoad done 2017/11/14 4:52:36
Processing File E:\CMR\Waybill\BKGREFNO1606.TXT 4:52:36
Starting MRSLoad 2017/11/14 4:52:36
MRSLoad done 2017/11/14 4:52:37这是我 LogStash 的配置文件
input {
file {
path=>"D:\Applications\ELK\logstash-6.0.0\test\test.log"
codec=> multiline {
pattern => "^\P"
negate => true
what => "previous"
}
start_position=>"beginning"
ignore_older=>0
}
}
filter {
grok {
match=> [ "message", "%{WINPATH:path}\ %{TIME:processingtime}\\r\\nStarting MRSLoad %{GREEDYDATA:StartingMRSLoad}\\r\\nMRSLoad done %{GREEDYDATA:MRSLoaddone}\\r" ]
}
}
output {
stdout {
codec=>rubydebug
}
}其中 filter 中用的 grok 我是在 Grok Debugger 调试出来的
完全没有问题的样子,可是用到配置文件里就出现了错误,日志并不能被正确的解析了
尝试查询了"_grokparsefailure" 发现有人遇到过一样的问题,但是暂且也没找到可以参考解决的办法,我想可能是我有一些理解错误?求大佬帮忙看一下
发现问题了,Grok Debugger就是个坑!!!在里面
\r\n非要写成\\r\\n才可以正确过滤 可实际上就应该写成\r\n