Come per la mia comprensione stai ricevendo questo errore, in quanto la struttura che abbiamo utilizzato non corrisponde il log che hai fornito.
Puoi essere più specifico i campi che si sta tentando di catturare da questo registro ?
Ho scritto un grok modello per i registri si deve seguire un simile modo tale che corrisponda l'intero registro. Nel caso In cui si trova unknown carattere di escape errore di usare una \ due volte invece di un singolo \
%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"
Ho scritto tutto curarsi di comando, si prega di verificare se il tutto funziona. Ho fatto un'ipotesi che u ottenere tutti i registri in questo formato.
Utilizzare questo sito per test ur grok modello: https://grokconstructor.appspot.com/do/match#result
Esistenti grok modello: https://grokdebug.herokuapp.com/patterns#
