У меня проблемы с анализом Grok. В ElasticSearch / Kibana совпадающие строки соответствуют тегу _grokparsefailure.

Вот мой конфиг logstash:

input { 
    file { 
     type => logfile 
     path => ["/var/log/mylog.log"] 
    } 
  } 
filter { 
    if [type] == "logfile" 
    { 
      mutate {
      gsub => ["message","\"","'"]
      }  

    grok 
        { match => { "message" => "L %{DATE} - %{TIME}: " } } 
    } 
} 

output { 
   elasticsearch { host => localhost port => 9300 } 
}

линии / шаблоны, которые я пытаюсь сопоставить: L 08/02/2014 - 22:55:49: файл журнала закрыт: "завершено"

Я попробовал отладчик наhttp://grokdebug.herokuapp.com/ и это работает нормально, мой шаблон соответствует правильно.

Строки, которые я хочу проанализировать, могут содержать двойные кавычки, и я прочитал, что могут быть проблемы с тем, как Grok обрабатывает и избегает их. Поэтому я попытался изменить, чтобы заменить «с», чтобы избежать проблем, но не повезло

Есть идеи ? Как я могу отладить это?

Спасибо