Bonjour, je suis dans ma première confrontation avec les filtres de logstash, après diverse recherche pour filtrer mes événements de type syslog j'ai trouvé "grok".
comment feriez-vous pour parser une log dont la syntaxe est ainsi, avec grok :
<189>date=2017-04-14 time=10:14:05
devname=FORTIGATE-240D-CL2-MIT-MASTER devid=FG240D4615801152
logid=0000000013 type=traffic subtype=forward level=notice vd=AQUADOC
srcip=X.X.X.X srcport=54792 srcintf="port2" dstip=X.X.X.X
dstport=53 dstintf="OVEA"
poluuid=c8c395be-a902-51e5-22c9-90f2a1f10610 sessionid=1816430938
proto=17 action=accept policyid=3 dstcountry="Reserved"
srccountry="Reserved" trandisp=snat transip=10.15.9.254 transport=54792
service="DNS" duration=180 sentbyte=61 rcvdbyte=77 sentpkt=1 rcvdpkt=1
appcat="unscanned"
Je n'arrive pas avec http://grokdebug.herokuapp.com/ ou même http://grokconstructor.appspot.com/
Si quelqu'un à le temps de me faire une petite explication je suis là.