Rozumiem, że masz ten błąd, bo używany szablon nie spełnia podanych przez was dzienników.
Nie można określić, które pola próbujesz uchwycić z tego magazynu ?
Napisałem szablon grok do czasopism, których należy przestrzegać w podobny sposób, aby odpowiadały całym magazynu. W przypadku, jeśli znajdziesz błąd nieznanego escape-znak, użyj \ dwukrotnie zamiast jednego \
%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"
Napisałem cały zespół grok, proszę sprawdzić, czy to działa. Zrobiłem założenie, że otrzymasz wszystkie dzienniki w tym formacie.
Użyj tej strony do testowania szablonu ur grok: https://grokconstructor.appspot.com/do/match#result
Istniejący szablon grok: https://grokdebug.herokuapp.com/patterns#
