我有一个工业系统生成日志文件,其中一些行看起来像这样:
component1 v1 component2 v2 component3 v3 ... 其中vx是一个数值(例如3.14159 )。
我正在运行一个超级基本的ELK堆栈,我想提取这些字段/值。
我不知道如何/在哪里攻击这个问题。 这是一个logstashconfiguration,应该完成从单行提取字段?
这是邪恶的。
kvfilter在这里不起作用,因为key = value分隔符与分隔元组相同。
如果线条一致,grok可能是你的救恩。 但是如果组件的顺序发生变化,那么非常迅速。
^{WORD:component1} {%BASE10NUM:component1_val}...