logstash grok pattern pour surveiller logstash lui-même

Question

Je voudrais ajouter logstash.log log dans ma pile ELK mais j'ai toujours grokparsefailure. Mon modèle est OK sur http://grokconstructor.appspot.com/do/match#result

Mon fichier logstash conf (partie du filtre) est

filter { 
    if [application] == "logstash" { 
    grok { 
     match => { "message" => "\{:timestamp=>\"%{TIMESTAMP_ISO8601:timestamp}\", :message=>%{GREEDYDATA:errormessage}\}" } 
    } 
    date { 
     match => [ "timestamp" , "yyyy-MM-dd'T'HH:mm:ss.SSSSSSZ" ] 
    } 
    } 
} 

Mais encore en obtenir que

{ 
    "_index": "logstash-2016.05.03", 
    "_type": "logs", 
    "_id": "AVR3WUtpT8BPcJ-gVynN", 
    "_score": null, 
    "_source": { 
    "@version": "1", 
    "@timestamp": "2016-05-03T16:00:20.708Z", 
    "path": "/var/log/logstash/logstash.log", 
    "host": "xxx.arte.tv", 
    "application": "logstash", 
    "tags": [ 
     "_grokparsefailure" 
    ] 

Je suppose que j'ai problème avec soit {ous "mais avec ou sans backslashing theim, encore grokparsefailure

Answer 1

Honte à moi, là s aucune erreur dans mon post précédent, le problème n'était pas un message à cause d'un message remove_field dans un autre fichier conf.

Désolé les gars pour la perte de temps