У меня возникли проблемы с анализом сообщения системного журнала grok. Отладчик не показывает проблем. Есть ли способ зарегистрировать grok, чтобы увидеть, почему он терпит неудачу?
Ввод: <37>May 22 23:02:53 myfirewall sshd: SSHD_LOGIN_FAILED: Login failed for user 'testthis' from host '10.0.0.1'
Узор: SSHD_LOGIN_FAILED .*%{MONTH} %{MONTHDAY} %{TIME} %{WORD:host} %{WORD:daemon}: %{WORD:eventtype}: Login failed for user '%{USER:user}' from host '%{IP:ipaddress}'
Любая помощь приветствуется
--debug
, вероятно, даст вам подсказки. - person Magnus Bäck   schedule 24.05.2015%{MONTH} %{MONTHDAY} %{TIME} %{DATA:sysloghostname} %{DATA:severity} .*\: %{DATA:event}\;.*rhost=%{IP:srcip}.*user=%{USERNAME:username}\\.*
Данные:<85>Jun 3 18:16:20 systemname notice sshd[29058]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=59.63.192.199 user=root\n
В отладчике проблем нет, и он в моем файле шаблонов.... - person Travis Johnson   schedule 04.06.2015