Назад | Перейти на главную страницу

Фильтр Logstash Grok

Я уверен, что есть простое решение, но я новичок в работе с Logstash. Фильтр, который я пытаюсь применить, предназначен для некоторых журналов брандмауэра, и у меня есть поле, которое будет иметь одно или два значения, разделенных двоеточием.

X16-V523 X16-V523: example.com

Я использовал для строки с двумя значениями,

% {GREEDYDATA: srcint}:% {GREEDYDATA: srchost}

Как сделать вторую часть матча необязательной?

Крис

Это должно сработать.

(%{GREEDYDATA:srcint}:%{GREEDYDATA:srchost})|(%{GREEDYDATA:srcint})

также протестируйте с http://grokdebug.herokuapp.com/