弹性Grok模式Netscaler的例子？

Question

我迷路了！我有一个例子netscaler日志，我想在弹性中使用Grok模式。

示例日志：

Dec 18 20:37:08 <local0.info> 10.217.31.247 CEF:0|Citrix|NetScaler|NS10.0|APPFW|APPFW_STARTURL|6|src=10.217.253.78 spt=53743 method=GET request=http://vpx247.example.net/FFC/login.html msg=Disallow Illegal URL. cn1=233 cn2=205 cs1=profile1 cs2=PPE0 cs3=AjSZM26h2M+xL809pON6C8joebUA000 cs4=ALERT cs5=2012 act=blocked

我不知道的模式时间戳是：%{SYSLOGTIMESTAMP:时间戳}，这很容易，但是下一个字符串和其他字符串呢？

我真的希望有人能帮助我。

Answer 1

您可以使用格罗克调试器来调试grok模式。下面是示例日志的GROK模式：

%{SYSLOGTIMESTAMP:timestamp} \<%{DATA:data}\.%{LOGLEVEL:loglevel}\> %{IP:ip} %{DATA:data}\|src\=%{IP:source_ip} %{GREEDYDATA:payload}

让我们使用logstash的有效负载来拆分字段。

kv {
           source => "payload"
           value_split => "="
           field_split => " "
           target => "msg"
         }