logstash grok pattern для мониторинга самого logstash

Я хотел бы добавить logstash.log войдите в мой стек ELK, но у меня всегда есть grokparsefailure.
Мой шаблон в порядке на http://grokconstructor.appspot.com/do/match#result
Тест grok pattern OK

Мой файл logstash conf (часть фильтра)

filter {
  if [application] == "logstash" {
    grok {
      match => { "message" => "{:timestamp=>"%{TIMESTAMP_ISO8601:timestamp}", :message=>%{GREEDYDATA:errormessage}}" }
    }
    date {
      match => [ "timestamp" , "yyyy-MM-dd'T'HH:mm:ss.SSSSSSZ" ]
    }
  }
}

Но еще в только получить

{
  "_index": "logstash-2016.05.03",
  "_type": "logs",
  "_id": "AVR3WUtpT8BPcJ-gVynN",
  "_score": null,
  "_source": {
    "@version": "1",
    "@timestamp": "2016-05-03T16:00:20.708Z",
    "path": "/var/log/logstash/logstash.log",
    "host": "xxx.arte.tv",
    "application": "logstash",
    "tags": [
      "_grokparsefailure"
    ]

I guess I have issue with either { ou » but with or without backslashing theim, still grokparsefailure.

1 ответ

  1. Позор на меня, нет ошибки в моем предыдущем посте, проблема не было сообщения из-за сообщения remove_field в другом файле conf.

    Извините ребята за трату времени