【发布时间】:2020-06-03 19:01:22
【问题描述】:
我必须为给定的行写一个 grok 表达式:
2019-11-14 17:29:20 fqm.kfa::(1087651)
我可以为::之前的那部分行写grok,如下所示:
%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})?\s*%{WORD:word1}.%{WORD:word2}
它工作得很好。但是,当我尝试合并:: 之后的那部分行时,它显示No matches
%{YEAR}-%{MONTHNUM}-%{MONTHDAY} %{HOUR}:?%{MINUTE}(?::?%{SECOND})?\s*%{WORD:word1}.%{WORD:word2}::(%{INT:num})
【问题讨论】:
标签: logstash elastic-stack logstash-grok