Conforme meu entendimento, você está recebendo este erro porque o padrão que você tem usado não coincide com os logs que você forneceu.
Você pode ser mais específico, quais os campos que você está tentando capturar a partir deste registo ?
Eu tenho escreveu um grok padrão para os logs você deve seguir de maneira semelhante, tal que corresponda a todo o registo. No caso de você ter encontrado desconhecido caractere de escape de erro use\, duas vezes, uma única vez o \
%{MONTH:month}%{SPACE}%{MONTHDAY:date}%{SPACE}%{TIME:time}%{SPACE}%{GREEDYDATA:temp1}\]%{SPACE}class\=\"%{WORD:class}\"%{SPACE}category\=\"%{GREEDYDATA:category}\"%{SPACE}ctx\=\"%{WORD:ctx}\"%{SPACE}filterNumber\=\"%{NUMBER:filternumber}\"%{SPACE}src\=\"%{IPV4:src}\"%{SPACE}srcPort\=\"%{DATA:srcport}\"%{SPACE}dest\=\"%{IPV4:dest}\"%{SPACE}destPort\=\"%{NUMBER:destport}\"%{SPACE}gwAction\=\"%{WORD:gwaction}\"%{SPACE}gwMode\=\"%{WORD:gwmode}\"
Eu ter escrito todo o grok comando por favor, verifique se isso funciona. Eu fiz uma suposição de que u gostaria de obter todos os registos neste formato.
Usar este site para teste de ur grok padrão: https://grokconstructor.appspot.com/do/match#result
Existente grok padrão: https://grokdebug.herokuapp.com/patterns#
