在SumoLogic中,是否可以仅在日志行的开头搜索文本?
例如,我想匹配:
错误: omg,有些东西着火了!
但不是:
警告:检测到烟雾!可能只是燃烧爆米花 - 没有错误:)
我已尝试^error:和parse "^error:",但似乎都不匹配。
答案 0 :(得分:0)
Parse Regex运算符(也称为提取运算符)启用 用户习惯使用正则表达式语法来提取更多 来自日志行的复杂数据。例如,可以使用Parse正则表达式 提取嵌套字段。
可以使用以下命令指定上述查询:parse regex "^(?<errorlevel>error: )"
假设正则表达式查询比自由文本更昂贵,您可以使用:"error: " | parse regex "^(?<errorlevel>error: )"进行预过滤。