我正在尝试使用带有垂直线“|”的日志的grok过滤器。
示例:
D:\Files\test.txt||Filtertest||2015/07/24 02:10:25 PM||Myname
我正在尝试greedydata过滤器,但不知道如何停止“|”字符。
${GREEDYDATA:filename}||%{WORD:filter}
有什么想法吗?
答案 0 :(得分:0)
模式实际上是regexp,管道符在regexp中表示“OR”。要删除它的含义,请将其删除:
foo\|\|bar
答案 1 :(得分:0)
我找到了一个不同的解决方案。我使用gsub命令替换所有的|带逗号的字符,我可以使用grok轻松过滤。
gsub => ["message", "[|]", ","]