Logstash Grok Filter

Question

Logstash Grok Filter

Я уверен, что есть простое решение, но я новичок в работе с Logstash. Фильтр, который я пытаюсь применить, предназначен для некоторых журналов брандмауэра, и у меня есть поле, которое будет содержать одно или два значения, разделенных двоеточием.

X16-V523 X16-V523: пример.com

Я использовал для строки с двумя значениями,

% {GREEDYDATA: srcint}: {% GREEDYDATA:srchost}

Как сделать вторую часть матча необязательной?

Крис

0

firewall logging elasticsearch logstash grok

Источник

user5038347 13 июн '16 в 07:43

1 ответ

Другие вопросы по тегам firewall logging elasticsearch logstash grok

Jacob Evans 13 июн '16 в 13:30 2016-06-13 13:30 · Answer 1 · 2016-06-13 13:30

Это должно сделать это.

(%{GREEDYDATA:srcint}:%{GREEDYDATA:srchost})|(%{GREEDYDATA:srcint})

также проверьте с http://grokdebug.herokuapp.com/

0

Источник

Jacob Evans 13 июн '16 в 13:30