多个 Grok 过滤器不存储第一个过滤器匹配记录

2024-03-28

我正在使用 Logstash 来解析 postfix 日志。我主要关注从后缀日志获取退回的电子邮件日志，并将其存储在数据库中。

为了获取日志，首先我需要找到 postfix 生成的与我的消息 ID 相对应的 ID，然后使用该 ID，我需要查找电子邮件的状态。对于以下配置，我能够获取日志。

grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}",
            "message", "%{SYSLOGBASE} %{POSTFIXBOUNCE}"
        ]
        named_captures_only => true
    }

我使用以下 if 条件来存储与模式匹配的日志：

if "_grokparsefailure" not in [tags] {
   #database call
}

正如您所看到的，我使用两种模式从一个日志文件中查找相应的两个不同日志。

现在，我想根据标签区分这两种模式。所以我修改了我的配置如下：

  grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXBOUNCE}"
        ]
        add_tag => ["BOUNCED"]
        remove_tag => ["_grokparsefailure"]
        named_captures_only => true
    }

    grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}"            
        ]
        add_tag => ["INTIALIZATION"]
        remove_tag => ["_grokparsefailure"]
        named_captures_only => true
    }

现在，它仅存储 %{POSTFIXCLEANUP} 模式日志。如果我颠倒顺序，它只存储 %{POSTFIXBOUNCE} 模式。

因此，在删除该 if 条件后，我发现从第一个过滤器解析的消息具有“_grokparsefailure”标签和第一个过滤器标签，因此它不存储该记录。

谁能告诉我需要做什么来纠正这个问题？我有什么错误吗？

您需要保护第二个 grok 块——即，如果第一个块成功，则不要执行它。

if ("BOUNCED" not in [tags]) {
  grok {
    patterns_dir => "patterns"
    match => [
        "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}"            
    ]
    add_tag => ["INTIALIZATION"]
    remove_tag => ["_grokparsefailure"]
    named_captures_only => true
  }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Logstash

logstashgrok

多个 Grok 过滤器不存储第一个过滤器匹配记录的相关文章

这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）

我是 elasticsearch 社区的新人我希望您能帮助我解决一些我遇到的困难我的目标是使用 Filebeat 将大量日志文件发送到 Elasticsearch 为了做到这一点我需要使用带有 Grok 模式处理器的摄取节点来解析数据
Logstash不处理filebeat发送的文件

我已经使用 docker 设置了 elk 堆栈基础设施我看不到 Logstash 正在处理的文件 Filebeat 配置为将 csv 文件从logstash 发送到logstash 再发送到elasticsearch 我看到logstas
从 activemq 主题获取消息时，logstash 输入速度非常慢

我已经在logstash中配置了JMS输入来订阅JMS主题消息并将消息推送到弹性搜索 input jms id gt my first jms yaml file gt D softwares logstash 6 4 0 config j
Logstash 可以同时处理多个输出吗？

我对 Logstash 和弹性搜索很陌生我正在尝试将日志文件存储在elasticsearch 和平面文件中我知道logstash 支持这两种输出但它们是同时处理的吗还是通过工作定期完成是的您可以通过使用托运人配置上的 add t
使用 Logstash CSV 过滤器不起作用

我试图在 Logstash 上使用 CSV 过滤器但它可以上传我的文件的值我正在使用 Ubuntu Server 14 04 kibana 4 logstash 1 4 2 和 elasticsearch 1 4 4 接下来我将展示我
Logstash 索引文本文件

我想在 Elasticsearch 中导入一个文本文件该文本文件每行包含 3 个值经过几个小时的努力我还是没有完成非常感谢您的帮助安装了 Logstash 的 Elasticsearch 5 4 0 样本数据 username e
Kibana Logstash ElasticSearch | Kibana Logstash ElasticSearch无法搜索未索引的字段

我正在探索 ELK 堆栈并遇到一个问题我已经生成了日志将日志转发到logstash 日志采用JSON格式因此它们被直接推送到ES中仅在Logstash配置中使用JSON过滤器连接并启动指向ES的Kibana 日志存储配置 filt
在logstash中使用grok解析多行JSON

我有一个 JSON 格式 SOURCE Source A Model ModelABC Qty 3 我正在尝试使用 Logstash 解析此 JSON 基本上我希望logstash 输出是一个键值对列表我可以使用kibana 进行分析
删除包含哈希字符的日志行

在我的 Logstash 发货程序中我想过滤掉用哈希字符注释的行 This log row should be dropped But one this should not 我能够使用grep过滤器但由于不鼓励即将退役我试图获得一
如何使用logstash插件-logstash-input-http

我正在探索 Logstash 以接收 HTTP 上的输入我已经使用以下方式安装了 http 插件插件安装logstash input http 安装成功然后我尝试使用以下命令运行logstash Logstash e 输入 http
Logstash 创建和访问数组

我想在用于设备的 Logstash 配置文件中创建一个数组然后通过我正在创建的新字段访问该数组值例子 filter array devicetype gt Cisco ASA Cisco 3750 mutate add field gt
Logstash 配置：检查布尔字段是否存在

使用Logstash 1 4 2 我有一个字段myfield这是我的 JSON 文档中的布尔值为了检查它是否存在不关心布尔值我使用了 if myfield exists else doesn t exist 测试该条件语句的结果是 m
Logstash 的 Java 过滤器

你知道 Logstash 有一个 Ruby 过滤器它使我能够用 Ruby 编写代码它通常包含在配置文件中如下所示 filter ruby code gt 现在我有两个 Jar 文件我想将它们包含在过滤器中以便可以根据我在这些 Ja
错误：index_not_found_Exception

我使用 ELK 堆栈来分析我的日志文件我上周测试过一切正常今天我进行了测试但当我输入 http localhost 9200 iot log count http localhost 9200 iot log count iot
适用于 MYSQL 的 Logstash Jdbc 输入插件

我在 Windows 中使用 Logstash 我无法安装输入 jdbc 插件因此我手动下载了 zip 文件并将插件中的logstash 文件夹放入我的logstash 1 5 2 文件夹中文件夹结构 D elastic search
Logstash 过滤器将“$epoch.$microsec”转换为“$epoch_millis”

我正在尝试转换表单中的时间戳字段 epoch microsec to epoch millis Example 1415311569 541062 gt 1415311569541 Logstash 似乎没有任何乘法的方法所以ts 100
wildfly-logstash 不将日志发送到logstash

我正在使用 jboss keycloak 11 0 2 和 wildfly logstash https github com kifj wildfly logstash https github com kifj wildfly logs
从logstash中的文件名获取事件的时间戳

我们有一个将事件写入文件的进程没有时间戳文件名本身带有时间戳后缀该时间戳应用于文件中的所有事件现在我尝试使用logstash的输入文件插件来解析该文件有没有一种方法可以将文件名获取到字段以便我可以使用 gsub 过滤器提取时间
聚合多个递归logstash

我正在使用带有输入 jdbc 的 Logstash 并且希望通过聚合将一个对象嵌入到另一个对象中如何使用添加递归即在另一个对象中添加一个对象这是一个例子 index my index type test id 1 version 1
Logstash 中的数学函数

我期待对 Logstash 中收到的输入进行数学运算但无法看到任何此类操作filter 输入如下 user id User123 date 2016 Jun 26 12 00 12 data doc name mydocs xls doc

随机推荐

Android 启动画面不显示

我的应用程序中的启动屏幕不显示仅显示白色背景然后它进入下一页我在 stackoverflow 中看到了其他类似的问题但它对我没有帮助飞溅 xml
emberjs 和 Foundation4

我正在尝试使用 emberjs 和 Foundation 4 现在使用 zepto 框架但一旦我将 emberjs 添加到我的 application js 中基础代码就停止工作包含的顺序有问题吗 require jquery req
Task.Run 在同一线程上继续，导致死锁

考虑以下我将同步等待的异步方法等一下我知道我知道这被认为是不好的做法导致死锁 https blog stephencleary com 2012 07 dont block on async code html 但我完全有意识的 ht
@Autowired 不在内部类中工作

我在内部类中有一个类是 Autowired 但是在执行时它会抛出空指针异常而在外部类中自动装配时它工作正常 class outer class inner Autowired private var somevar private pro
Matlab：提取矩阵的第N个元素，同时保持矩阵的原始顺序

我正在尝试设置一些代码来提取矩阵的某些元素并按照提取的顺序仅将这些值保留在另一个矩阵中示例如果我有一个随机 1X20 矩阵但只想要以 4 和 5 开头的每个 Nth 5 个元素我希望它构造一个仅包含 4 5 9 10 14 15
AppClassloader 和 SystemClassloader 之间的区别

我对这两个类加载器很困惑当谈论Java类加载器的层次结构时通常会提到引导类加载器和扩展类加载器以及第三类加载器系统类加载器或应用程序类加载器为了更准确我查了JDK的源码在班上Launcher 有代码 loader AppClas
D3.js（威尔金森型）点图示例

我已经搜索过但无法找到 D3 中点图的示例有谁知道这种类型的绘图已在任何基于 D3 构建的图表库中实现或者在基础 D3 中的示例需要明确的是点图与直方图类似只不过点彼此堆叠在一起而不是直方图的条形图在 R 中可以使用 gg
如何使用 Homebrew 将 Postgis 安装到 [email protected] 的 Keg 安装中？

我已经安装了电子邮件受保护 cdn cgi l email protection使用 Homebrew 1 2 到我的 OSX El Capitan 机器不幸的是在安装 Postgis 并执行 CREATE EXTENSION pos
在 Java 中将二进制数据从 URL 复制到文件，无需中间复制

我正在更新一些旧代码以从 URL 而不是从数据库获取一些二进制数据数据即将从数据库中移出并且可以通过 HTTP 访问数据库 API 似乎直接以原始字节数组形式提供数据并且相关代码使用 BufferedOutputStream 将此
我可以从任意异步任务访问 Http.Context.current() 吗？

我正在开发一个移动应用程序的后端该应用程序当前在 Play 2 1 1 上运行作为处理某些请求的一部分我们会发送推送通知发送推送通知的下游请求应该完全异步并且与移动客户端的原始请求响应分离我想访问Http Context cur
CondaEnvException：Pip 失败。尝试使用 .yml 文件在 conda 中创建环境时出现 pip 子进程错误

我正在尝试使用 yml 文件在 conda 中创建一个环境这是我运行过的命令 git clone https github com fastai fastai cd fastai conda env create f environmen
MySQL 和 GROUP_CONCAT() 最大长度

我在用着GROUP CONCAT 在 MySQL 查询中将多行转换为单个字符串但是该函数结果的最大长度为1024人物我很清楚我可以更改参数group concat max len增加此限制 SET SESSION group conc
为什么按钮元素的高度与具有相同高度属性的同级输入元素的高度不匹配？

我有以下内容 div style border solid 1px gray height 22px line height 22px display inline block Div div
Symfony3.3：使用标量参数自动装配控制器

我的控制器包含具有标量依赖性的操作 bugReportRecipient class DefaultController public function bugReportAction SwiftTwigMailer swiftTwigMa
Android 捕获新的拨出电话[重复]

这个问题在这里已经有答案了可能的重复 Android 重定向拨出电话 https stackoverflow com questions 3683494 android redirect outgoing calls 要求是将新拨打的号码
C++11（或Boost）system_error策略

我正在开发一个系统该系统旨在使用名为的类error code error condition and error category C 11 中新的 std 方案尽管目前我实际上正在使用 Boost 实现我读过克里斯科尔科夫的系列文
检查文件中是否存在所有多个字符串或正则表达式

我想检查一下是否all我的字符串存在于文本文件中它们可以存在于同一行或不同行上部分匹配应该没问题像这样 string1 string2 string3 string1 string2 string1 string2 string3 s
没有导出成员“InjectionToken”

我正在使用 firebase 构建 Angular2 应用程序问题是整个应用程序在 Visual Studio Code 中工作正常但在 c9 中却不能即使我安装所有包的过程是相同的在 c9 中我收到错误错误于 home ubun
Bootstrap 3：导航栏形式的输入组占据整个宽度

这就是 bootstrap 的导航栏形式的样子默认 HTML 为
多个 Grok 过滤器不存储第一个过滤器匹配记录

我正在使用 Logstash 来解析 postfix 日志我主要关注从后缀日志获取退回的电子邮件日志并将其存储在数据库中为了获取日志首先我需要找到 postfix 生成的与我的消息 ID 相对应的 ID 然后使用该 ID 我需要查找

多个 Grok 过滤器不存储第一个过滤器匹配记录

多个 Grok 过滤器不存储第一个过滤器匹配记录 的相关文章

随机推荐

热门标签

多个 Grok 过滤器不存储第一个过滤器匹配记录的相关文章