16
मेरे पास एक दूरस्थ मशीन है जो मल्टीलाइन घटनाओं को जोड़ती है और उन्हें lumberjack प्रोटोकॉल में भेजती है।मैं grok/logstash में एक नई लाइन से कैसे मेल करूं?
{
"message" => "2014-10-20T20:52:56.133+0000 host 2014-10-20 15:52:56,036 [ERROR ][app.logic ] Failed to turn message into JSON\nTraceback (most recent call last):\n File \"somefile.py", line 249, in _get_values\n return r.json()\n File \"/path/to/env/lib/python3.4/site-packages/requests/models.py\", line 793, in json\n return json.loads(self.text, **kwargs)\n File \"/usr/local/lib/python3.4/json/__init__.py\", line 318, in loads\n return _default_decoder.decode(s)\n File \"/usr/local/lib/python3.4/json/decoder.py\", line 343, in decode\n obj, end = self.raw_decode(s, idx=_w(s, 0).end())\n File \"/usr/local/lib/python3.4/json/decoder.py\", line 361, in raw_decode\n raise ValueError(errmsg(\"Expecting value\", s, err.value)) from None\nValueError: Expecting value: line 1 column 1 (char 0), Failed to turn message into JSON"
}
जब मैं
grok {
match => [ "message", "%{TIMESTAMP_ISO8601:timestamp} \[%LOGLEVEL:loglevel}%{ SPACE}\]\[%{NOTSPACE:module}%{SPACE}\]%{GREEDYDATA:message}" ]
}
GREEDYDATA साथ संदेश मिलान करने का प्रयास के रूप में लगभग लालची के रूप में मैं चाहूँगा नहीं है:
क्या में आता है कुछ है कि इस तरह दिखता है है।
तो फिर मैं gsub का उपयोग करने की कोशिश की:
mutate {
gsub => ["message", "\n", "LINE_BREAK"]
}
# Grok goes here
mutate {
gsub => ["message", "LINE_BREAK", "\n"]
}
लेकिन यह है कि एक के बजाय
The Quick brown fox
jumps over the lazy
groks
मैं
The Quick brown fox\njumps over the lazy\ngroks
तो मिल गया ...
काम नहीं कियामैं या तो कैसे जोड़ूं मेरे डेटा पर वापस आने के लिए, GREEDYDATA मेरी न्यूलाइन से मेल करें, या किसी अन्य तरीके से मेरे संदेश के प्रासंगिक भाग को पकड़ें?
http://stackoverflow.com/questions/24307965/logstash-grok-multiline-message का डुप्लिकेट की तरह लग रहा। –
@ मैग्नस बैक मूल रूप से हां, हालांकि उस प्रश्न को न्यूलाइन के बारे में परवाह नहीं है, लेकिन मैं * परिणामस्वरूप संदेश में न्यूलाइन की मौजूदगी की आवश्यकता है। –