多个 Grok 过滤器不存储第一个过滤器匹配记录

2024-03-28

我正在使用 Logstash 来解析 postfix 日志。我主要关注从后缀日志获取退回的电子邮件日志，并将其存储在数据库中。

为了获取日志，首先我需要找到 postfix 生成的与我的消息 ID 相对应的 ID，然后使用该 ID，我需要查找电子邮件的状态。对于以下配置，我能够获取日志。

grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}",
            "message", "%{SYSLOGBASE} %{POSTFIXBOUNCE}"
        ]
        named_captures_only => true
    }

我使用以下 if 条件来存储与模式匹配的日志：

if "_grokparsefailure" not in [tags] {
   #database call
}

正如您所看到的，我使用两种模式从一个日志文件中查找相应的两个不同日志。

现在，我想根据标签区分这两种模式。所以我修改了我的配置如下：

  grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXBOUNCE}"
        ]
        add_tag => ["BOUNCED"]
        remove_tag => ["_grokparsefailure"]
        named_captures_only => true
    }

    grok {
       patterns_dir => "patterns"
       match => [
            "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}"            
        ]
        add_tag => ["INTIALIZATION"]
        remove_tag => ["_grokparsefailure"]
        named_captures_only => true
    }

现在，它仅存储 %{POSTFIXCLEANUP} 模式日志。如果我颠倒顺序，它只存储 %{POSTFIXBOUNCE} 模式。

因此，在删除该 if 条件后，我发现从第一个过滤器解析的消息具有“_grokparsefailure”标签和第一个过滤器标签，因此它不存储该记录。

谁能告诉我需要做什么来纠正这个问题？我有什么错误吗？

您需要保护第二个 grok 块——即，如果第一个块成功，则不要执行它。

if ("BOUNCED" not in [tags]) {
  grok {
    patterns_dir => "patterns"
    match => [
        "message", "%{SYSLOGBASE} %{POSTFIXCLEANUP}"            
    ]
    add_tag => ["INTIALIZATION"]
    remove_tag => ["_grokparsefailure"]
    named_captures_only => true
  }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Logstash

logstashgrok

多个 Grok 过滤器不存储第一个过滤器匹配记录的相关文章

无法识别获取内容命令

我们有通常在 UNIX 环境中执行的脚本以下是脚本中的一行 command gt use bin tail n 1 path grep silent F message rm f path 当在 PowerShell 中运行时 use b
Logstash - Memorize 插件的使用

尝试使用记忆插件如下所示 if message matching event grok match gt message mymatch datetime memorize field gt datetime if message a
这些日志的 grok 模式应该是什么？（摄取 filebeat 的管道）

我是 elasticsearch 社区的新人我希望您能帮助我解决一些我遇到的困难我的目标是使用 Filebeat 将大量日志文件发送到 Elasticsearch 为了做到这一点我需要使用带有 Grok 模式处理器的摄取节点来解析数据
Logstash不处理filebeat发送的文件

我已经使用 docker 设置了 elk 堆栈基础设施我看不到 Logstash 正在处理的文件 Filebeat 配置为将 csv 文件从logstash 发送到logstash 再发送到elasticsearch 我看到logstas
如何实现logstash配置的单元或集成测试？

使用logstash 1 2 1 人们现在可以有条件地做各种事情如果管理许多日志文件并实现指标提取即使是早期版本的 conf 文件也会变得复杂看完之后这个全面的 http untergeek com 2013 09 11 gettin
如果不设置 vm.max_map_count，ElasticSearch 5.0.0-aplha4 将无法启动

我希望将我的 ES 版本从 2 3 更新到 5 0 0 alpha4 以便能够使用 Ingest 节点并删除 Logstash 但如果我不将 vm max map count 设置为 262144 ES 5 x 版本似乎无法启动我不想设置
Logstash可以直接读取远程日志吗？

我是 Logstash 的新手几天来我一直在阅读有关它的内容和大多数人一样我试图拥有一个集中式日志系统并将数据存储在 elasticsearch 中然后使用 kibana 来可视化数据我的应用程序部署在许多服务器中因此我需要从所
如何将 uuid 添加到 log4j 以登录文件？

我有这个 log4j2 xml 文件
Logstash grok 过滤器配置用于 php monolog 多行（stacktrace）日志

2018 02 12 09 15 43 development WARNING home page 2018 02 12 09 15 43 development INFO home page 2018 02 12 10 22 50 dev
解析 Logstash 中的嵌套 JSON 字符串

我正在以 json 格式登录logstash 我的日志有以下字段每个字段都是一个字符串 atts字段是字符串化的 json 注意 atts子字段每次都不同这是一个例子 name bob last builder atts a 111 b
在logstash中使用grok解析多行JSON

我有一个 JSON 格式 SOURCE Source A Model ModelABC Qty 3 我正在尝试使用 Logstash 解析此 JSON 基本上我希望logstash 输出是一个键值对列表我可以使用kibana 进行分析
如何使用 Kibana 3 创建价值随时间变化的图表？

我使用 Logstash 来存储包含车辆随时间变化的速度的日志文件在 Kibana 3 中如何生成一个显示随时间变化的值的面板即 x 轴显示时间 y 轴显示相关值例如车辆速度我发现的大多数面板都会计算给定时间范围内事件的发生次数并
如何向 Elasticsearch 客户端通知新的索引文档？

我正在使用 Elasticsearch 并且正在构建一个客户端使用 Java 客户端 API 来导出通过 Logstash 索引的日志我希望能够在新文档被索引已添加新日志行时收到通知通过在某处添加侦听器而不是查询最后 X 个文档
无法执行操作：action=>LogStash::PipelineAction::Create/pipeline_id:main

我已在 CentOS7 VM 上安装了 ELK 堆栈版本 7 0 0 但在 Logstash 服务启动期间遇到了问题错误 2019 05 13 08 21 37 359 Converge PipelineAction Create 代理
如何使用logstash插件-logstash-input-http

我正在探索 Logstash 以接收 HTTP 上的输入我已经使用以下方式安装了 http 插件插件安装logstash input http 安装成功然后我尝试使用以下命令运行logstash Logstash e 输入 http
用于自定义日志的 Logstash Grok 过滤器

我有两个相关问题第一个是如何最好地处理具有混乱间距等的日志第二个我将单独询问是如何处理具有任意属性值对的日志看 Logstash Grok 过滤器用于具有任意属性值对的日志 https stackoverflow com qu
多个 Grok 过滤器不存储第一个过滤器匹配记录

我正在使用 Logstash 来解析 postfix 日志我主要关注从后缀日志获取退回的电子邮件日志并将其存储在数据库中为了获取日志首先我需要找到 postfix 生成的与我的消息 ID 相对应的 ID 然后使用该 ID 我需要查找
Logstash - 如何在没有目标的情况下使用分割过滤器分割数组？

我正在尝试将 JSON 数组拆分为多个事件这是一个示例输入 results id a1 name hello id a2 name logstash 这是我的过滤器和输出配置 filter split field gt results s
为什么 Logstash 需要这么长时间才能启动/加载？

Edit 我更改了标题因为问题不是我最初想象的那样事实是 logstash 需要超过一分钟开始这可能会被误解为沉默我正在尝试让logstash运行所以我按照官方网站上的说明进行独立安装 http logstash net doc
Logstash 过滤器将“$epoch.$microsec”转换为“$epoch_millis”

我正在尝试转换表单中的时间戳字段 epoch microsec to epoch millis Example 1415311569 541062 gt 1415311569541 Logstash 似乎没有任何乘法的方法所以ts 100

随机推荐

Android 启动画面不显示

我的应用程序中的启动屏幕不显示仅显示白色背景然后它进入下一页我在 stackoverflow 中看到了其他类似的问题但它对我没有帮助飞溅 xml
emberjs 和 Foundation4

我正在尝试使用 emberjs 和 Foundation 4 现在使用 zepto 框架但一旦我将 emberjs 添加到我的 application js 中基础代码就停止工作包含的顺序有问题吗 require jquery req
Task.Run 在同一线程上继续，导致死锁

考虑以下我将同步等待的异步方法等一下我知道我知道这被认为是不好的做法导致死锁 https blog stephencleary com 2012 07 dont block on async code html 但我完全有意识的 ht
@Autowired 不在内部类中工作

我在内部类中有一个类是 Autowired 但是在执行时它会抛出空指针异常而在外部类中自动装配时它工作正常 class outer class inner Autowired private var somevar private pro
Matlab：提取矩阵的第N个元素，同时保持矩阵的原始顺序

我正在尝试设置一些代码来提取矩阵的某些元素并按照提取的顺序仅将这些值保留在另一个矩阵中示例如果我有一个随机 1X20 矩阵但只想要以 4 和 5 开头的每个 Nth 5 个元素我希望它构造一个仅包含 4 5 9 10 14 15
AppClassloader 和 SystemClassloader 之间的区别

我对这两个类加载器很困惑当谈论Java类加载器的层次结构时通常会提到引导类加载器和扩展类加载器以及第三类加载器系统类加载器或应用程序类加载器为了更准确我查了JDK的源码在班上Launcher 有代码 loader AppClas
D3.js（威尔金森型）点图示例

我已经搜索过但无法找到 D3 中点图的示例有谁知道这种类型的绘图已在任何基于 D3 构建的图表库中实现或者在基础 D3 中的示例需要明确的是点图与直方图类似只不过点彼此堆叠在一起而不是直方图的条形图在 R 中可以使用 gg
如何使用 Homebrew 将 Postgis 安装到 [email protected] 的 Keg 安装中？

我已经安装了电子邮件受保护 cdn cgi l email protection使用 Homebrew 1 2 到我的 OSX El Capitan 机器不幸的是在安装 Postgis 并执行 CREATE EXTENSION pos
在 Java 中将二进制数据从 URL 复制到文件，无需中间复制

我正在更新一些旧代码以从 URL 而不是从数据库获取一些二进制数据数据即将从数据库中移出并且可以通过 HTTP 访问数据库 API 似乎直接以原始字节数组形式提供数据并且相关代码使用 BufferedOutputStream 将此
我可以从任意异步任务访问 Http.Context.current() 吗？

我正在开发一个移动应用程序的后端该应用程序当前在 Play 2 1 1 上运行作为处理某些请求的一部分我们会发送推送通知发送推送通知的下游请求应该完全异步并且与移动客户端的原始请求响应分离我想访问Http Context cur
CondaEnvException：Pip 失败。尝试使用 .yml 文件在 conda 中创建环境时出现 pip 子进程错误

我正在尝试使用 yml 文件在 conda 中创建一个环境这是我运行过的命令 git clone https github com fastai fastai cd fastai conda env create f environmen
MySQL 和 GROUP_CONCAT() 最大长度

我在用着GROUP CONCAT 在 MySQL 查询中将多行转换为单个字符串但是该函数结果的最大长度为1024人物我很清楚我可以更改参数group concat max len增加此限制 SET SESSION group conc
为什么按钮元素的高度与具有相同高度属性的同级输入元素的高度不匹配？

我有以下内容 div style border solid 1px gray height 22px line height 22px display inline block Div div
Symfony3.3：使用标量参数自动装配控制器

我的控制器包含具有标量依赖性的操作 bugReportRecipient class DefaultController public function bugReportAction SwiftTwigMailer swiftTwigMa
Android 捕获新的拨出电话[重复]

这个问题在这里已经有答案了可能的重复 Android 重定向拨出电话 https stackoverflow com questions 3683494 android redirect outgoing calls 要求是将新拨打的号码
C++11（或Boost）system_error策略

我正在开发一个系统该系统旨在使用名为的类error code error condition and error category C 11 中新的 std 方案尽管目前我实际上正在使用 Boost 实现我读过克里斯科尔科夫的系列文
检查文件中是否存在所有多个字符串或正则表达式

我想检查一下是否all我的字符串存在于文本文件中它们可以存在于同一行或不同行上部分匹配应该没问题像这样 string1 string2 string3 string1 string2 string1 string2 string3 s
没有导出成员“InjectionToken”

我正在使用 firebase 构建 Angular2 应用程序问题是整个应用程序在 Visual Studio Code 中工作正常但在 c9 中却不能即使我安装所有包的过程是相同的在 c9 中我收到错误错误于 home ubun
Bootstrap 3：导航栏形式的输入组占据整个宽度

这就是 bootstrap 的导航栏形式的样子默认 HTML 为
多个 Grok 过滤器不存储第一个过滤器匹配记录

我正在使用 Logstash 来解析 postfix 日志我主要关注从后缀日志获取退回的电子邮件日志并将其存储在数据库中为了获取日志首先我需要找到 postfix 生成的与我的消息 ID 相对应的 ID 然后使用该 ID 我需要查找

多个 Grok 过滤器不存储第一个过滤器匹配记录

多个 Grok 过滤器不存储第一个过滤器匹配记录 的相关文章

随机推荐

热门标签

多个 Grok 过滤器不存储第一个过滤器匹配记录的相关文章