Je reçois une erreur de grok cohérente entre parenthèses. J'ai échappé au support avec un '\'. J'ai aussi essayé de le tromper avec des caractères génériques. Le débogueur Grok analyse correctement, mais ne parvient pas à analyser en production. J'ai deux autres entrées qui présentent le même comportement tandis que d'autres modèles sans parenthèses sont l'analyse.Grok échouant sur les parenthèses
Le '% {WORD: type} [% {INT: pid}]' est le problème.
#Jan 15 13:35:44 firewall sshd[1468]: Accepted publickey for john from 192.168.1.16 port 62529 ssh2: .....
AUTHLOG1 (%{SYSLOGTIMESTAMP:timestamp} %{WORD:src_host} %{WORD:type}\[%{INT:pid}\]: Accepted publickey for %{USERNAME:user} from %{IP:src_ip} port %{INT:port} %{WORD:protocol}*)
#Jan 15 13:35:44 firewall systemd-logind[1221]: New session 481 of user john.
AUTHLOG4 (%{SYSLOGTIMESTAMP:timestamp} %{WORD:src_host} (?<type>[a-z-]+)\[%{INT:pid}\]: Removed session %{INT:session}.)
AUTHLOG (?:%{AUTHLOG1}|%{AUTHLOG2}|%{AUTHLOG3}|%{AUTHLOG4}|%{AUTHLOG5}|%{AUTHLOG6})
if [type] == "authlog" {
grok {
match => { "message" => "%{AUTHLOG}"}
patterns_dir => ["/etc/logstash/grok"]
}
}
Veuillez prendre le [Tour] (https://stackoverflow.com/tour), lisez [How To Ask] (https://stackoverflow.com/help/how-to-ask) et créez un [MCVE] (https://stackoverflow.com/help/mcve). –
quelle est l'erreur – sweaver2112
Je reçois un 'tags: _grokparsefailure' à Kibana. Logstash ne l'analyse pas correctement. –