我的日志条目都包含一个源文件,例如:
/ openshift / {openshift_container_id} / {openshift_container_name} / {openshift_image_name} / {openshift_pod_name} / {openshift_namespace}。{docker_stream}
是否可以将部分日志源作为字段? 该怎么办?
答案 0 :(得分:2)
rex field=source "/openshift/(?<openshift_container_id>[^/]+)/(?<openshift_container_name>[^/]+)/(?<openshift_image_name>[^/]+)/(?<openshift_pod_name>[^/]+)/(?<openshift_namespace>[^\.]+)\.(?<docker_stream>.*)"
您可以使用rex命令使用正则表达式从其他字段中提取字段