错误Grok模式

Question

我正在尝试为以下日志跟踪创建一个grok模式：

"source":"<a href=\"http://twitter.com/download/iphone\" rel=\"nofollow\">Twitter for iPhone</a>"

我所做的格格模式是：

a href=\\"http://twitter.com/download/(?<Client>\b\w+\b)

这似乎很好的工作在任何我曾经尝试过的网络调试器中。然而，当我运行logstash时，我得到了一个grok。这是我的logstash配置：

grok { match => {"message" => "a href=\\http://twitter.com/download/(?<Client>\b\w+\b)"}

你能告诉我我做错了什么吗？我不明白为什么它在logstash上不起作用，但似乎在任何在线调试器中都有效。

预期的输出是：Client: iPhone

谢谢

Answer 1

我认为您可以改变您的方法以避免处理所有/“chars；”所以

这句话：

grok { match => {"message" => "a href=\\http://twitter.com/download/(?<Client>\b\w+\b)"}

可改为：

grok { match => {"message" => "*%{URI}\/download\/(?<Client>\b\w+\b).*"}