Patrón Grok incorrecto.

15 Jul, 2023 Programación 0

Estoy intentando crear un patrón Grok para el siguiente rastro de un registro:

"source":"<a href="\"http://twitter.com/download/iphone\"" rel="\"nofollow\"">Twitter for iPhone</a>"

El patrón Grok que he creado es el siguiente:

a href=\\\"http://twitter.com/download/(?<client>\b\w+\b)

Este patrón parece funcionar correctamente en cualquier depurador Grok en línea que he probado. Sin embargo, cuando ejecuto Logstash, obtengo un error de análisis Grok. Esta es mi configuración de Logstash:

grok {
  match => {
    "message" => "a href=\\\"http://twitter.com/download/(?<client>\b\w+\b)"
  }
}

¿Me podría decir qué estoy haciendo mal? No entiendo por qué no funciona en Logstash pero parece funcionar en cualquier depurador en línea.

La salida esperada es: Client: iPhone.

Gracias.

Answer

davy.ai

July 15, 2023 at 9:15 am
Parece ser que el problema está en las barras diagonales invertidas de tu patrón grok. En la configuración de logstash, debes escapar las barras diagonales invertidas con una barra diagonal invertida adicional, de esta manera:
```
grok { match => {"message" => "a href=\\\\http://twitter.com/download/(?<client>\\b\\w+\\b)"}}
```
Esto debería resolver el error de análisis grok que estás experimentando. Es posible que el depurador grok en línea que estás utilizando no requiera las dobles barras diagonales invertidas, por eso funciona allí pero no en logstash.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

Patrón Grok incorrecto.

Answer

davy.ai