Logstash 搭配 ceph 客户端与服务端分离

Question

我不确定您是否曾经想过如何做到这一点，但我正在寻找适合我自己的环境的东西，我认为唯一的方法是为每个客户端设置模式。

我已经在grok 构造函数并且它们返回有效字段。

如果您只想要客户端 A（10.16.64.68:6813/97613）和客户端 B（10.16.64.29:6805/35260）的字段，则可以这样做：

%{TIMESTAMP_ISO8601:date} %{BASE16FLOAT:osd_epoch}  %{NUMBER:error_bool} -- (?<client_a>(%{IPORHOST}\:%{POSINT}/%{POSINT})) %{FROMTO} (?<client_b>(%{IPORHOST}\:%{POSINT}/%{POSINT}))

2015-06-02 16：45：49.515277 7f4968cfe700 0——10.16.64.68：6813/97613 10.16.64.29：6805/35260 已匹配
client_a：10.16.64.68:6813/97613
client_b：10.16.64.29:6805/35260
error_bool：0
日期：2015-06-02·16：45：49.515277
osd_epoch：7f4968cfe700

如果你还希望该连接的每个元素都有单独的字段（客户端 a/b IP、客户端 a/b 端口、客户端 a/b 套接字），则此模式应该有效：

%{TIMESTAMP_ISO8601:date} %{BASE16FLOAT:osd_epoch}  %{NUMBER:error_bool} -- (?<client_a>(%{IPORHOST:client_a_ip}\:%{POSINT:client_a_port}/%{POSINT:client_a_socket})) %{FROMTO} (?<client_b>(%{IPORHOST:client_b_ip}\:%{POSINT:client_b_port}/%{POSINT:client_b_socket}))

2015-06-02 16：45：49.515277 7f4968cfe700 0——10.16.64.68：6813/97613 10.16.64.29：6805/35260 已匹配
client_a：10.16.64.68:6813/97613
client_b：10.16.64.29
:6805/35260 client_a_ip：10.16.64.68
client_b_ip：10.16.64.29
client_a_port：6813
client_b_port：6805
client_a_socket：97613
client_b_socket：35260
error_bool：0
日期：2015-06-02·16：45：49.515277
osd_epoch：7f4968cfe700

Answer 1