БЛОГ НА HUSL


Почему Grok не парсит сообщение?

Автор вопроса: sln

Есть сообщения типа таких:

logger=context userId=0 orgId=0 uname= t=2023-11-10T11:49:59.003822762Z level=info msg="Request Completed" method=GET path=/ status=302 remote_addr=5.189.12.56 time_ms=0 duration=269.632µs size=29 referer= handler=/

Сделал Grok-фильтр для них в logstash.conf:

input {
  beats {
    port => "5000"
  }
}

filter {
    grok {
        match => { "message" => "logger=%{DATA:logger_type} userId=%{NUMBER:user_id} orgId=%{NUMBER:org_id} uname=%{WORD:uname}? t=%{TIMESTAMP_ISO8601:timestamp} level=%{WORD:log_level} msg=\"%{DATA:message}\" method=%{WORD:http_method} path=%{DATA:path} status=%{NUMBER:http_code} %{GREEDYDATA:other}" }
    }
}

output {
  elasticsearch {
    ssl_certificate_verification => false
    hosts => ["elasticsearch:9200"]
  }
}

Но он почему-то не работает и в Кибане сообщение не парсится. В чем может быть проблема? Думал что может изменения логстешом не подтягиваются - пересоздал контейнеры после docker system prune -a --force, но по-прежнему сообщения не парсятся в Кибане.


Источник

Ответы (0 шт):

licensed under cc by-sa 3.0 with attribution.