为logstash

Question

继Nginx的神交模式是我Nginx的日志格式

log_format timed_combined '$ HTTP_X_FORWARDED_FOR - $ REMOTE_USER [$ time_local]' ' “$要求” $状态$ body_bytes_sent' “” $ http_referer“”$ http_user_agent“' '$ request_time $ upstream_response_time $ pipe';

以下为Nginx的日志记录（供参考）

- - test.user [26/May/2017:21:54:26 +0000] "POST /elasticsearch/_msearch HTTP/1.1" 200 263 "https://myserver.com/app/kibana" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36" 0.020 0.008 . 

以下为logstash神交图案

NGUSERNAME [a-zA-Z\.\@\-\+_%]+ 
NGUSER %{NGUSERNAME} 
NGINXACCESS %{IPORHOST:clientip} - - \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent} %{NUMBER:request_time} %{NUMBER:upstream_time} 

错误logstash日志中找到

“status”=> 400，“error”=> {“type”=>“mapper_parsing_exception”， “reason”=>“无法解析[timestamp]”， “caused_by”=> {“type “=>”illegal_argument_exception“，”reason“=>”无效 格式：\“26/May/2017：19：28：14 -0400 \”格式不正确 \// May/2017：19：28：14 -0400 \”

Issue: - Nginx logs are not getting grokked. 
Requirement: - Timestamp should be filtered into a particular field. 

什么是错误的，我的配置？如何解决这个错误？

Answer 1

您所提供的，因为两个区别默认NGINXACCESS神交模式不匹配的记录行：

1. 作为日志行的IP地址或主机名的第一个元素的预期，但在你的日志线破折号（-）是第一个元素。
2. 在日志行中的第三个要素是用户名，但神交模式需要一个破折号（-）

因此，有解决这个双向的：

1. 确认，您的日志线匹配默认模式
2. 更改神交模式是这样的：

NGINXACCESS - - %{USERNAME:username} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:verb} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:response} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent} %{NUMBER:request_time} %{NUMBER:upstream_time} 

我建议使用Grok debugger来开发和调试grok模式。它允许您逐步创建和测试它们。