标签: splunk
对于由'------------'行分隔的多行事件,似乎无法通过设置LINE_BREAKER = ^ ------------ [\ r \ n}来工作\ n] +。有什么建议吗?
答案 0 :(得分:0)
你能试试这个正则表达式:-{12}[\r\n]+吗?我在想使用^可能正在寻找字符串的开头,因为这是一个多行事件,而不是行的开头。此外,使用{12}表示法可能会让您的生活更轻松
-{12}[\r\n]+
^
{12}