【发布时间】:2012-03-12 13:25:04
【问题描述】:
我正在使用Splunk 通过 TCP 接收我的Heroku logs。 Heroku 像这样格式化这些日志:
[timestamp] [host] [source] [process] - - [message]
对于 nginx 进程,日志是这样出来的:
[timestamp] [host] heroku nginx - - [nginx's output]
我想使用 Splunk 的默认访问提取字段转换来处理这些日志。我查看了其他一些引用其他转换的内置转换,并尝试将其作为我的新转换的正则表达式:
(?i) heroku nginx \- \- [[access-extractions]]
但是,当我点击“保存”时,我得到:
尝试保存时遇到以下错误: 在处理程序“转换提取”中: 正则表达式:字符类中的范围乱序
从字段转换中引用其他字段转换的语法是什么?这是做我想做的最好的方法吗?
【问题讨论】:
标签: ruby-on-rails logging heroku nginx splunk