标签: regex splunk
我已经编写了一个在Splunk中使用的正则表达式,它只能匹配以下形式的日志级别
[ERROR] [INFO ] [DEBUG]
它工作正常但由于某种原因它还包括小写元素(如[info])。这是正则表达式:
[info]
(?i) .*?\] \[(?P<FIELDNAME>[A-Z]+\s?)(?=\])
我没有明确说明我只想考虑包含大写字符的元素吗?
答案 0 :(得分:3)
只需从您的模式中删除(?i)修饰符即可。模式中的(?i)修饰符执行不区分大小写的匹配。
(?i)