Aide sur logstash pour filtrer des événements syslog

Bonjour, je suis dans ma première confrontation avec les filtres de logstash, après diverse recherche pour filtrer mes événements de type syslog j'ai trouvé "grok".

comment feriez-vous pour parser une log dont la syntaxe est ainsi, avec grok :

    <189>date=2017-04-14 time=10:14:05 
    devname=FORTIGATE-240D-CL2-MIT-MASTER devid=FG240D4615801152 
    logid=0000000013 type=traffic subtype=forward level=notice vd=AQUADOC 
    srcip=X.X.X.X srcport=54792 srcintf="port2" dstip=X.X.X.X 
    dstport=53 dstintf="OVEA" 
    poluuid=c8c395be-a902-51e5-22c9-90f2a1f10610 sessionid=1816430938 
    proto=17 action=accept policyid=3 dstcountry="Reserved" 
    srccountry="Reserved" trandisp=snat transip=10.15.9.254 transport=54792 
    service="DNS" duration=180 sentbyte=61 rcvdbyte=77 sentpkt=1 rcvdpkt=1 
    appcat="unscanned"

Je n'arrive pas avec http://grokdebug.herokuapp.com/ ou même http://grokconstructor.appspot.com/

Si quelqu'un à le temps de me faire une petite explication je suis là.

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.