Насколько я понимаю, вы получаете эту ошибку, потому что используемый вами шаблон не соответствует предоставленным вами журналам.
Не могли бы вы уточнить, какие поля вы пытаетесь захватить из этого журнала ?
Я написал шаблон grok для журналов, которым вы должны следовать аналогичным образом, чтобы он соответствовал всему журналу. В случае, если вы обнаружите ошибку неизвестного escape-символа, используйте \ дважды вместо одного \
%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"
Я написал всю команду grok, пожалуйста, проверьте, работает ли это. Я сделал предположение, что вы получите все журналы в этом формате.
Используйте этот веб-сайт для тестирования шаблона ur grok: https://grokconstructor.appspot.com/do/match#result
Существующий шаблон grok: https://grokdebug.herokuapp.com/patterns#
