или от этого отказались и вернулись на логстеш?

Чёт не как не могу заставить работать grok.


Пишу     if [type] == "mikrotik_log" {    if [message] =~ "firewall" { drop {} }       if [message] =~ "system" {        grok {      match => [             "message", "%{WORD:module},%{WORD:loglevel},%{WORD:loglevel} login failure for user %{WORD:user} from %{IP:src_ip} via %{WORD:src_type}" ]             }     }  }

Хочу разобрать сообщение. Но в elk. Всеравно приходит обычное message

Для его работы нужно что то включить?

https://grokdebug.herokuapp.com/ может это чемто поможет

Я им прогонял, все нормально

У меня такое чувство, что grok не работает

он работает, прост оупорото

я дебажил логстешем

сделал иф блоков по количеству паттерном в строке

первый + гридидаата

и добавлял перед гриди датой паттерны из нормально отдебаженного в дебаггере по той ссылке

А в elk нужно пересобирать patterns после выделения из message тегов?

Там же по сути их нет ещё

не понял вопрос

но вроде да, обновить индекс паттерн надо

Я получается в grok выделяю новые теги, а их тут и нет

если меседж логстеш не распарсил - в доках будет тег грокпарсефаилуре и соответственно новые поля не появляются, если логстеш

Все получилось!   Нужно было всего лишь обновить патерн

Спасибо