logstash grok模式將標簽留空
[英]logstash grok pattern to leave tags empty
問題描述
當找不到對應的標簽時,我試圖將模式之一留為空白。 但是不知何故,下一場比賽將被替換。
我有一條如下的日志
[2017-10-19 09:41:07,204: INFO/Worker-5] <test id = '123:4567', name = 'example_testcase'><TID:0b46030ee6f14055b41b796a4eebfef2><RID:01234567>POST some url to post
我在下面的grok模式匹配中嘗試了這個
^\[%{TIMESTAMP_ISO8601:timestamp}%{DATA}%{LOGLEVEL:log_level}/%{DATA:work_id}\]%{SPACE}(?:<%{DATA:message_headers}>)?(<TID:%{DATA:tid}>)?(<RID:%{BASE10NUM:rid}>)?%{GREEDYDATA:log_message}
這與查找message_headers一樣有效,如果未找到,則消息標頭將替換為TID。 例如:
[2017-10-19 09:41:07,204: INFO/Worker-5] <TID:0b46030ee6f14055b41b796a4eebfef2><RID:01234567>POST some url to post
那么grok模式應將message_headers保留為空白。 而是TID坐在message_headers中。 任何人都可以幫助實現此功能。
1 個解決方案
解決方案1
2 2017-10-20 18:32:25
我刪除了可選表達式“?” 經過潮汐,它的工作原理。 謝謝
logstash / grok 模式文件
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.