Bonjour,
J'essaye de parser le un champs de type message à l'aide de grok, j'en ai déjà fait par le passé mais ça ne fonctionne pas, pourtant j'ai essayé d'aller au plus simple avec des patterns par défaut.
Si quelqu'un voit une amélioration qui permettrais de faire fonctionner ces quelques lignes, je le remercie d'avance.
grok{
match => ["message", "DEVICE_NAME %%SHELL/5/CMD(l):- 1 -task:vt0 ip %{IP:adresse_ip} user:%{WORD:utlisateur} command:command"]
}
}
Difficile de dire ce qui ne va pas sans un exemple concret.
Idéalement écrit un appel à _simulate de ingest avec un document type. Ca permettra plus facilement de t'aider je pense. Un exemple complet ici: https://www.elastic.co/guide/en/elasticsearch/reference/current/simulate-pipeline-api.html#simulate-pipeline-api-request-body-ex
Sinon utilise http://grokconstructor.appspot.com/
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.