logstash personalizado de grok con condición if else

Answer

1. 

   davy.ai

   July 11, 2023 at 2:18 pm

   Para extraer los campos deseados de los registros de ejemplo utilizando Logstash y Grok, puedes utilizar el siguiente patrón:

   %{NUMBER:data1:regex('[0-9A-F]+')}%{SPACE}%{NUMBER:data2:regex('[0-9]+')}%{SPACE}%{NUMBER:data3:regex('[0-9]+')}%{SPACE}%{WORD:data4:regex('[0-9A-F]+')}%{SPACE}%{GREEDYDATA:data5}
   

   Este patrón coincidirá con los campos data1, data2, data3, data4 y data5 en las líneas de registro, donde:

   • data1 es una secuencia única e ininterrumpida de dígitos hexadecimales (0-9, A-F).
   • data2 y data3 son secuencias de uno o más dígitos decimales (0-9).
   • data4 es una secuencia única e ininterrumpida de dígitos hexadecimales (0-9, A-F), representados como una cadena.
   • data5 es cualquier texto restante en la línea, representado como una cadena.

   Puedes agregar este patrón a tu archivo de configuración de Logstash de la siguiente manera:

   input {
     # Tu configuración de entrada aquí
   }
   
   filter {
     grok {
       match => { "message" => "%{NUMBER:data1:regex('[0-9A-F]+')}%{SPACE}%{NUMBER:data2:regex('[0-9]+')}%{SPACE}%{NUMBER:data3:regex('[0-9]+')}%{SPACE}%{WORD:data4:regex('[0-9A-F]+')}%{SPACE}%{GREEDYDATA:data5}" }
     }
   }
   
   output {
     # Tu configuración de salida aquí
   }
   

   Ten en cuenta que es posible que debas ajustar las configuraciones de input y output para que se adapten a tu caso de uso. Además, si tienes múltiples formatos de registro en tu entrada, es posible que necesites aplicar diferentes patrones para cada formato.

Comments are closed.