环境准备
在135上进入以下路径编辑pipelines.yml 文件,把配置文件放到同一个目录下去
进入136日志配置文件:cd /usr/local/logstash/etc,创建配置文件vim grok.conf
启动加载配置日志
启动完成后手动输入日志内容,直接回车,加载出以下内容
以上的grok.conf相当于把这个日志中的内容单独拿出来,修改grok.conf配置文件
重新加载配置文件
此时因为不是标准输入,所以没有显示内容
此时显示前台访问日志内容
加上匹配内容,user_ip就可以单独输出ip内容