堆栈内存溢出
  繁体   English   中英

logstash,grok-多行数据后如何匹配可选字段?

[英]logstash, grok - how match optional field after multiline data?

 原文  2018-10-16 11:02:08       logstash/ logstash-grok

问题描述

我使用logstash来分析来自filebeat的消息。 个别消息具有以下语法: 

key1: some data!....
-...data continues..special symbols ..:!?111--
whatever...1234!"..??..data..continues !!';;; blabla
key2: important data

key1的值是我想输入的多行混乱。
还要注意,key2是可选的,它可能恰巧不在日志消息中!

我想解析key2的值(如果存在),并尝试如下: 

key1: (?m)%{DATA}(\nkey2:%{DATA:value})?

,但似乎第一个DATA块仅与整个消息匹配,并且跳过了可选部分。
我需要第一个DATA块不要贪婪,以免跳过key2

感谢您的任何建议:)

1 个解决方案

解决方案1
 0  2018-10-16 11:37:19

这是偶然的堆栈跟踪吗? 然后,您可以过滤空格。 您的日志示例可能会有所帮助。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Logstash:多行数据的grok表达式 Logstash-希腊多行 Logstash grok多行消息 消息字段的Logstash grok匹配模式 Logstash grok 与特定字段不匹配 如何在 grok/logstash 中匹配换行符? 在logstash中使用grok解析多行JSON 在Logstash Grok过滤器中从消息中获取可选字段 Logstash:从可选行读取多行数据 Logstash grok搭配2种图案
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM