Шаблон Grok, вызывающий _grokparsefailure[0]

У меня возникли проблемы с анализом сообщения системного журнала grok. Отладчик не показывает проблем. Есть ли способ зарегистрировать grok, чтобы увидеть, почему он терпит неудачу?

Ввод: <37>May 22 23:02:53 myfirewall sshd: SSHD_LOGIN_FAILED: Login failed for user 'testthis' from host '10.0.0.1'

Узор: SSHD_LOGIN_FAILED .*%{MONTH} %{MONTHDAY} %{TIME} %{WORD:host} %{WORD:daemon}: %{WORD:eventtype}: Login failed for user '%{USER:user}' from host '%{IP:ipaddress}'

Любая помощь приветствуется


logstash grok
person Travis Johnson    schedule 22.05.2015    source источник
comment
попробуйте запустить logstash с --debug, я думаю, это расскажет вам о фильтрах grok   -  person markus    schedule 22.05.2015
comment
Отлично работает с Logstash 1.4.2. Вы уверены, что Logstash загружает ваш файл шаблона? Как выглядит ваш фильтр Grok полностью? Как говорит @markus, запуск Logstash с --debug, вероятно, даст вам подсказки.   -  person Magnus Bäck    schedule 24.05.2015
comment
И снова биться головой об стол...   -  person Travis Johnson    schedule 04.06.2015
comment
Шаблон: %{MONTH} %{MONTHDAY} %{TIME} %{DATA:sysloghostname} %{DATA:severity} .*\: %{DATA:event}\;.*rhost=%{IP:srcip}.*user=%{USERNAME:username}\\.* Данные: <85>Jun 3 18:16:20 systemname notice sshd[29058]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root\n В отладчике проблем нет, и он в моем файле шаблонов....   -  person Travis Johnson    schedule 04.06.2015

Ответы (1)


arrow_upward
0
arrow_downward

Спасибо за чаевые.

Я обнаружил, что по какой-то причине в моем тестовом блоке есть несколько мест, где файлы шаблонов существуют. В правильном файле не было моих шаблонов.

person Travis Johnson    schedule 01.06.2015