Selon ma compréhension, vous obtenez cette erreur, parce que le modèle que vous avez utilisé ne correspond pas aux journaux que vous avez fournis.
Pouvez-vous être plus précis, quels sont les domaines que vous essayez de capturer à partir de ce journal ?
J'ai écrit un grok modèle pour les journaux, vous devez suivre le même type de manière à ce qu'elle corresponde à l'ensemble du journal. Dans le cas où vous avez trouvé inconnu caractère d'échappement erreur d'utiliser \ deux fois au lieu d'une seule \
%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"
J'ai écrit toute la grok commande, veuillez vérifier si cela fonctionne. J'ai fait une hypothèse que u serait d'obtenir tous les journaux dans ce format.
Utilisez ce site pour tester ur grok modèle: https://grokconstructor.appspot.com/do/match#result
Existant grok modèle: https://grokdebug.herokuapp.com/patterns#
