GROKパターンは完全に理解デバッガで動作しなくlogstash configに

Question

マイログ：

(49087) Login incorrect (eap_peap: TLS Alert write:fatal:decode error): [johndoe] (from client WIFI-Control-Dev port 13 cli bb-41-e2-1c-12-12) 

私が使用GROKパターン：

\(%{NOTSPACE:removed}\) %{DATA:AUTHWAY} (?:\(%{DATA:radius_reason}\))?: (?:\[%{DATA:username}\]) \(from client %{NOTSPACE:radius_client} port %{INT:radius_port}(?: cli %{NOTSPACE:radius_cli})?(?: via %{DATA:radius_via})?\) 

をこれが一致し、GROKデバッガで完璧に動作しますが、ときに私が使用して私のlogstash設定で同じパターン、それは動作しません。

AUTHWAYフィールドのように来ている：私は必要なもの

"AUTHWAY" => "Login incorrect (eap: Failed continuing EAP PEAP (25) session. EAP sub-module failed)", 

は別のフィールドとしてLogin incorrectと(eap: Failed continuing EAP PEAP (25) session. EAP sub-module failed)です。

どのような違いがあるのでしょうか、ログパターンの設定でgrokパターンを動作させるにはどうすればいいですか？

Answer 1

私は自分自身で答えを見つけました。誰にも役立つかもしれないので、私はそれを掲示しています。

これは私が使ったgrokパターンです。grokデバッガとサーバの両方で動作します。

\(%{DATA:removed}\) %{DATA:AUTHWAY}(?::)? (?:\((.*?)\):)?%{SPACE}\[%{DATA:username}\] \(from client %{NOTSPACE:radius_client} port %{INT:radius_port}(?: cli %{NOTSPACE:radius_cli})?(?: via %{DATA:radius_via})?\) 

ここで私は(?::)? (?:\((.*?)\):)?%{SPACE}代わりの(?:\(%{DATA:radius_reason}\))?:

を使用