ホーム>source

とGrokデバッガ 私はいくつかのカスタムデータを解析しようとしています:

ウィズウィズ

これまでのところ:

ウィズウィズ

ただし、文字列を囲む二重引用符のようなものを取得しています

1 1 "Device 1" 1 "Input 1" 0 "On" "Off" "2020-01-01T00:00:00.1124303+00:00"

、時間と分の2つの時間と分

%{INT:id} %{INT:device} %{QUOTEDSTRING:device_name} %{INT:input} %{QUOTEDSTRING:input_name} %{INT:state} %{QUOTEDSTRING:on_phrase} %{QUOTEDSTRING:off_phrase} \"%{TIMESTAMP_ISO8601:when}\"

<前>ウィズウィズ

また、 %{QUOTEDSTRING) に関しては、少し行き詰まっています。私が %{TIMESTAMP_ISO8601:when} として何を置くかわからないので { "id": [ [ "1" ] ], "device": [ [ "1" ] ], "device_name": [ [ ""Device 1"" ] ], "input": [ [ "1" ] ], "input_name": [ [ ""Input 1"" ] ], "state": [ [ "0" ] ], "on_phrase": [ [ ""On"" ] ], "off_phrase": [ [ ""Off"" ] ], "when": [ [ "2020-01-01T00:00:00.1124303+00:00" ] ], "YEAR": [ [ "2020" ] ], "MONTHNUM": [ [ "01" ] ], "MONTHDAY": [ [ "01" ] ], "HOUR": [ [ "00", "00" ] ], "MINUTE": [ [ "00", "00" ] ], "SECOND": [ [ "00.1124303" ] ], "ISO8601_TIMEZONE": [ [ "+00:00" ] ] } で 。次のコードは、前の例のgithubのものです。

<前>ウィズウィズ

私は次のようになると思います:

<前>ウィズウィズ

繰り返しますが、 logstash.conf で何をすることになっているかはわかりません

index
あなたの答え
  • 解決した方法 # 1

    二重引用符について:QUOTEDSTRINGの代わりにDATAを使用してください:

    <前>ウィズウィズ

    時間と分の重複したエントリはタイムゾーンから取得されます。最初のエントリは実際の時間、2番目のエントリはタイムゾーンの時間です。分についても同じです。

    それを取り除くには、カスタムパターンが必要です。

    <前>ウィズウィズ

    (タイムスタンプの解析にまったく興味がない場合は、もう一度DATAを使用してください)。

    したがって、パターンは次のようになります。

    <前>ウィズウィズ

    インデックスについて:

    完全に省略すると、デフォルトの "%{DATA:device_name}" が使用されます。

    あなたは "(?<when>%{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?(?<ISO8601_TIMEZONE>Z|[+-](?:2[0123]|[01]?[0-9])(?::?(?:[0-5][0-9])))?)" を使うことができます  毎日別々のインデックスが必要な場合

    あなたは %{INT:id} %{INT:device} "%{DATA:device_name}" %{INT:input} "%{DATA:input_name}" %{INT:state} "%{DATA:on_phrase}" "%{DATA:off_phrase}" "(?<when>%{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?(?<ISO8601_TIMEZONE>Z|[+-](?:2[0123]|[01]?[0-9])(?::?(?:[0-5][0-9])))?)" を使うことができます  インデックスを1つだけにする

    インデックスパターンで他のフィールドの組み合わせを使用できます

    logstash-%{+YYYY.MM.dd}

  • 前へ java - JPAクエリ:サブクエリをグループ化条件に結合する
  • 次へ git - コミット間で削除された変更を確認する方法