1
I ayant un message syslog du commutateur Cisco comme ci-dessousLogstash Grok Motif Erreur
<189>11762: SW01: ]: Oct 19 15:46:15.776 GMT: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/5, changed state to up
Je suis en train d'enlever] après SW01 et a réussi en utilisant le schéma ci-dessous:
<%{NUMBER:message_type_id}>%{NUMBER:internal_id}:%{SPACE}%{SYSLOGHOST:origin_hostname}:%{SPACE}\]:%{SPACE}%{CISCOTIMESTAMP:cisco_timestamp}
Ce Produce Pattern la sortie suivante:
{
"internal_id": "11762",
"cisco_timestamp": "Oct 19 15:46:15.776",
"message_type_id": "189",
"origin_hostname": "SW01"
}
Mais quand j'essaie d'ajouter sur d'autres modèles après l'horodatage comme suit ING:
\%%{WORD:facility}-%{INT:severity}-%{WORD:mnemonic}: %{GREEDYDATA:msg}
GrokDebugger:
Provided Grok patterns do not match data in the input
Comment puis-je correspondre à un modèle au message syslog ci-dessus?
Toute aide est très appréciée
Merci