ELK日志收集的时候可能遇到各种不同的日志格式,此时可能需要用logstash的grok对日志分割,grok分割涉及到正则表达式匹配。反正小蜗牛对正则表达式是非常头疼。
1、[Grok Patterns]
http://grokdebug.herokuapp.com/patterns
Patterns有多种应用服务默认日志的配置,可以参考,然后修改自定义规则
## 2、[Grok Discovery](http://grokdebug.herokuapp.com/discover?#)
当有一串字符不知道怎么标识时,可以用Grok Discovery,它可以告诉你用哪个Patterns去匹配
## 3、自定义Patterns
[logstash官方定义的正则列表](https://github.com/kbsonlong/logstash/blob/1.4/patterns/grok-patterns)
可以根据正则列表自定义,如
文章转载自蜷缩的蜗牛,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
