从日志字符串中删除 "ms" 并转换为 INT 的 Grok 模式
Grok pattern to remove "ms" from log string and convert to INT
第一次好久
我有这条日志消息:
2022/05/04 09:24:08 INTERESTING UpdateStatus: active: 45 waiting: 0 connections: 91 max dbcmd queue length: 3 max dbcmd response time: 19ms cmds processed: 6 nacks: 0 nresent: 0
我有这个 grok 模式来解析它:
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{WORD:max_dbcmd_response_time} cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}
除了一件事,一切都很好,
这个值我想提取响应时间并绘制 int (19)。
max dbcmd response time: 19ms
但我唯一能让 grok 开心的方法就是把它变成一个 WORD,因为有“ms”。
max dbcmd response time: %{WORD:max_dbcmd_response_time}
我真的希望 19 成为一个 INT,但我不知道如何删除或忽略标记在数字“19ms”末尾的“ms”。
您可以使用INT,但您需要在模式部分后添加ms或\w*:
%{INT:max_dbcmd_response_time}ms
%{INT:max_dbcmd_response_time}\w*
完整模式:
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{INT:max_dbcmd_response_time}ms cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}
或者
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{INT:max_dbcmd_response_time}\w* cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}
第一次好久
我有这条日志消息:
2022/05/04 09:24:08 INTERESTING UpdateStatus: active: 45 waiting: 0 connections: 91 max dbcmd queue length: 3 max dbcmd response time: 19ms cmds processed: 6 nacks: 0 nresent: 0
我有这个 grok 模式来解析它:
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{WORD:max_dbcmd_response_time} cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}
除了一件事,一切都很好,
这个值我想提取响应时间并绘制 int (19)。
max dbcmd response time: 19ms
但我唯一能让 grok 开心的方法就是把它变成一个 WORD,因为有“ms”。
max dbcmd response time: %{WORD:max_dbcmd_response_time}
我真的希望 19 成为一个 INT,但我不知道如何删除或忽略标记在数字“19ms”末尾的“ms”。
您可以使用INT,但您需要在模式部分后添加ms或\w*:
%{INT:max_dbcmd_response_time}ms
%{INT:max_dbcmd_response_time}\w*
完整模式:
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{INT:max_dbcmd_response_time}ms cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}
或者
%{DATE} %{TIME} %{WORD:log_level} %{WORD:update_status}: active: %{INT:active} waiting: %{INT:waiting} connections: %{INT:connections} max dbcmd queue length: %{NUMBER:max_dbcmd_queue_length} max dbcmd response time: %{INT:max_dbcmd_response_time}\w* cmds processed: %{NUMBER:cmds_processed} nacks: %{NUMBER:nacks} nresent: %{NUMBER:nresent}