Как правильно разобрать лог Graylog2?

Есть Graylog сервер, получаю логи из Untangle по syslog. Всебы ни чего, но часть лога приходит так
message
INFO uvm[0]: {"timeStamp":"2018-06-19 15:39:41.092","SClientPort":17324,"SServerPort":443,"SClientAddr":"XXXXXXX","tag":"uvm[0]: ","class":"class com.untangle.uvm.app.SessionNatEvent","SServerAddr":"/XXXXXXX","serverIntf":1,"sessionEvent":{"entitled":true,"partitionTablePostfix":"_2018_06_19","hostname":"XXXXXXX","CServerPort":443,"protocol":6,"protocolName":"TCP","tag":"uvm[0]: ","serverLatitude":55.7522,"localAddr":"/XXXXXXX","class":"class com.untangle.uvm.app.SessionEvent","SServerAddr":"/XXXXXXX","remoteAddr":"/XXXXXXX","serverIntf":1,"CClientAddr":"/XXXXXXX","serverCountry":"RU","sessionId":99933897939645,"SClientAddr":"/XXXXXXX","clientCountry":"XL","CClientPort":52661,"policyRuleId":0,"timeStamp":"2018-06-19 15:39:41.092","serverLongitude":37.6156,"clientIntf":2,"policyId":1,"SClientPort":17324,"bypassed":false,"SServerPort":443,"CServerAddr":"/XXXXXXX","tagsString":""},"partitionTablePostfix":"_2018_06_19"}

Хочу получить читаемый вариант, вроде делается extrsctor(ами)
Вот где про это почитать? Подскажите с чего начать

Вопрос задан более трёх лет назад
312 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

Дмитрий @Tabletko

Судя по синтаксису это json. Вы хотите его превратить в строку?

Написано более трёх лет назад
dboon @dboon Автор вопроса

Дмитрий, Да очень похоже, я хочу сделать следующие.
вот так prntscr.com/jx1t9j данные выделяет , вот такие данные "SServerPort":53 получилось выделить
Хочу выделить ip адрес исходные данные такие "CServerAddr":"/192.168.10.3" , патерн вот такой
"CServerAddr":%{STRING:CServerAddr}
в string я пробовал разные значения, так \s так \S так (\s+) и даже так \S(?

Написано более трёх лет назад
dboon @dboon Автор вопроса

разобрался , сделал grok pattern poolAddress":"/%{IPV4:poolAddress}

Написано более трёх лет назад