编写Logstash配置文件

Question

你好，谢谢你抽出时间。我需要创建配置文件，这是输入：

2017-02-14T13:39:33+02:00 PulseSecure: 2017-02-14 13:39:33 - ive - 10.16.4.225 dpnini(用户)[]-测试密码域限制对dpnini/用户失败

这是所需的文本文件输出：

{“时间戳”：“2017-02-14T13:39:33+02:00”、“供应商”：“PulseSecure”、"localEventTime":"2017-02-14 13:39:33“、"userIP":"10.16.4.225”、“用户名”：“dpnini”、“group”：“用户”、“vpnMsg”：“测试密码域限制失败”

我只知道我用"bin/logstash -f logstash-simple.conf“启动logstash，而且我知道我需要更改的文件是config文件夹中的YML文件。

谢谢!

Answer 1

Logstash文件(您的logstash-simple.conf)由三个部分组成:输入、过滤器、输出。输入/输出是数据的源/目标，而过滤器定义数据转换。检查弹性页中的样品：

https://www.elastic.co/guide/en/logstash/current/config-examples.html

实际上，您需要做的是在过滤器中编写grok模式，将文本拆分为json中的标记/字段。对grok的简单描述：

http://logz.io/blog/logstash-grok/