logstash grok过滤器-grok解析失败

Question

我有多行自定义日志，我正将这些日志作为一行处理，使用关键字。现在，这包括每一行末尾的\n。但是，这会导致logstsash文件中的grok解析失败。有人能帮我吗。下面是它们的样子：

请帮助我使用下面一行的grok过滤器：

2016年11月18日凌晨3:05:50：\n抛出的错误是：\n nEmpty Queue\n*************************************************************************\nRequest已发送is:\nhpi_hho_de,2015423181057，接收到的e06106f64e5c40b4b72592196a7a45cd\n*************************************************************************\nResponse是：\nQSS持有哈希表为空\n**

Answer 1

正如@Mohsen建议的那样，您可能必须使用gsub过滤器来替换日志行中的所有新行字符。

filter {
  mutate {
    gsub => [
      # replace all forward slashes with underscore
      "fieldname", "\n", ""         
    ]
  }
}

也许您也可以在if条件下进行上述操作，以确保没有任何grokparse故障。

if "_grokparsefailure" in [tags] or "_dateparsefailure" in [tags] {
    drop { }
}else{
  mutate {
    gsub => [
      # replace all forward slashes with underscore
      "fieldname", "\n", ""         
    ]
  }
}

希望这能有所帮助！

Answer 2

你可以在这里找到你的答案：

https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html

您应该使用Mutate块将所有"\n"替换为""(空字符串)。或者用这个

%{DATESTAMP} %{WORD:time} %{GREEDYDATA}