Hello,
I would like to split my message field on my logs but I don't master the grok filter at all, can you suggest a split?
Here is the message field to cut:
Windows Installer a reconfiguré le produit. Nom du produit : [Microsoft Search in Bing]. Version du produit : [2.0.2]. Langue du produit : 1033. Fabricant :[ Microsoft Corporation]. Réussite de la reconfiguration ou état d’erreur : 0.
What's in parentheses are the parts I'd like to tag
thank you for your answer
I would suggest
grok { match => { "message" => "Windows Installer a reconfiguré le produit. Nom du produit : %{DATA:produitNom}. Version du produit : %{DATA:produitVersion}. Langue du produit : %{DATA}. Fabricant :%{DATA:fabricant}. Réussite "
Another option would be something like
grok {
break_on_match => false
match => {
"message" => [
"Nom du produit : (?<produitNom}>[^.]+).",
"Version du produit : (?<produitVersion>[^.]+).",
"Fabricant :(?<fabricant>[^.]+_."
]
}
}
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.