我正在使用Splunk 5.0.1版。 我想过滤被索引的日志。
我已将这些行添加到transforms.conf文件中:
[setparsing]
REGEX = log: myCompany|\[CRIT\]|\[ERR\]
DEST_KEY = queue
FORMAT = indexQueue
所以我想要的是索引所有具有这些字符串之一的日志条目。 但由于某些原因,只有带有这些条目的日志被编入索引:
log: myCompany
,而字符串为"[CRIT]" or "[ERR]"的日志条目未编入索引。
我错过了什么?正则表达式有什么问题,因为我检查了许多Perl示例。这就是我们为log编写正则表达式的方法:myCompany或[CRIT] or [ERR]。