[英]Logstash grok square brackets
我正在嘗試使用以下日志記錄格式來使用某種grok模式:
*Sun 07:05:18.372 INFO [main] [userID] perf - 0ms - select x from y
我遇到的問題是方括號中的字段,我在這里注釋為userID。 有時這個字段是填充的,有時則不是。 如果我使用下面的grok模式:
*%{DAY:Day} %{TIME:Time} %{LOGLEVEL:Loglevel}\s+(\[%{WORD:module}\]\s+)(\[%{HOSTNAME:id}\]\s+)%{GREEDYDATA:logline}*
只要UserID字段中有一些數據,它就會正確解析。 如果該字段為空(例如下面),則它不匹配。 任何想法都感激不盡!
*Sun 07:05:18.372 INFO [main] [] perf - 0ms - select x from y
你試圖用反斜杠來逃避括號嗎? 如\\[%{WORD:module}\\]
問題不是關於[]一個簡單的零或更多運算符(?)的轉義應該這樣做:
(?\[%{WORD:module}?]\s+)
(第二 ?)
使用包括方括號的模式在logstash中進行Grok解析失敗
[英]Grok Parsing Failure in logstash with Pattern That Includes Square Brackets
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.