Bu grokparsefailure ile ilgili

Question 1

Bu benim örnek günlüğüm.

<4 > 19 Kasım 17: 08: 28 BAGW-R çekirdeği: [BlackRidge / Gateway / 5.0.0.8928 M] class= "İlişkilendirme" category= "Filtre Kuralı: To_Trusted Bırakma" ctx = "bump0" fılterNumber = "1022" src="192.168.120.173" srcPort="41178" dest=" 192.168.120.100 " destPort="443" gwAction = "ATMA" gwMode="Zorla"

Grok desen:

%{SÖZCÜK: sınıf} %{SÖZCÜK: kategori} %{SÖZCÜK: ctx} %{SAYI: fil ternumber} %{IP: src} %{SAYI: srcPort} %{IP: dest} %{SAYI: destPort} %{SÖZCÜK: gwAc tion} %{SÖZCÜK: gwMode}

Bir grokparsefailure alıyorum. Herkes yardım edebilir mi?

Question 2

Anladığım kadarıyla bu hatayı alıyorsunuz çünkü kullandığınız desen sağladığınız günlüklerle eşleşmiyor.

Bu günlükten hangi alanları yakalamaya çalıştığınıza daha açık olabilir misiniz ?

Tüm günlüğe uyacak şekilde benzer şekilde izlemeniz gereken günlükler için bir grok kalıbı yazdım. Bilinmeyen kaçış karakteri hatası bulursanız, tek yerine iki kez \ kullanın \

%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"

Tüm grok komutunu yazdım, lütfen bunun işe yarayıp yaramadığını kontrol edin. Tüm günlükleri bu biçimde alacağınıza dair bir varsayımda bulundum.

Ur grok modelini test etmek için bu web sitesini kullanın: https://grokconstructor.appspot.com/do/match#result

Mevcut grok deseni: https://grokdebug.herokuapp.com/patterns#

sidharth vijayakumar · Answer 1 · 2021-11-23T17:41:43

Anladığım kadarıyla bu hatayı alıyorsunuz çünkü kullandığınız desen sağladığınız günlüklerle eşleşmiyor.

Bu günlükten hangi alanları yakalamaya çalıştığınıza daha açık olabilir misiniz ?

Tüm günlüğe uyacak şekilde benzer şekilde izlemeniz gereken günlükler için bir grok kalıbı yazdım. Bilinmeyen kaçış karakteri hatası bulursanız, tek yerine iki kez \ kullanın \

%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"

Tüm grok komutunu yazdım, lütfen bunun işe yarayıp yaramadığını kontrol edin. Tüm günlükleri bu biçimde alacağınıza dair bir varsayımda bulundum.

Ur grok modelini test etmek için bu web sitesini kullanın: https://grokconstructor.appspot.com/do/match#result

Mevcut grok deseni: https://grokdebug.herokuapp.com/patterns#

<%{INT:syslog_pri}>\s*%{SYSLOGTIMESTAMP:syslog_timestamp}\s+%{HOSTNAME:logging_host}\s+%{PROG:logging_process}(?:[%{İNT: logging_pid}])?:\s + [%{DATA: version}]\s + %{GREEDYDATA: logged_message}
Yukarıdaki deseni denedim ve mesaj dizesindeki tüm alanları ayrı ayrı ayıklamak istiyorum çünkü gösterge panom için onlara ihtiyacım var.
ya benimki henüz tamamlanmadı, yaptığım şeyi takip edip tüm alanları yakalayabileceğiniz çok sayıda metin alanı var
Cevabımı düzenledim, şimdi sağladığınız günlük için grok deseni var. Unknown escape char error gibi herhangi bir hata alırsanız lütfen \\ yerine \ \ kullanın.

Bu grokparsefailure ile ilgili

Soru

En iyi cevabı

Diğer dillerde

Bu sayfa diğer dillerde

Bu kategoride popüler

Popüler soruları bu kategoride