我需要帮助编写特定字符串的grok模式。
我在同一个日志文件中有以下类型的日志行:
第1行:
20151012 00:59:03 main ERROR java.lang.Class - Failed to retrieve the node - unable to resolve the path //mbeans/mbean[@id="audit-config"]/mbean-attributes
第2行:
20151012 00:59:59 RMI TCP Connection(5)-176.66.1.39 INFO net.cp.cluster.configstore.admin.impl.AdminManager - config up-to-date; local anchor [ac6c08e5-cded-43ca-8cb3-e8be1b85c453] - global anchor: [ac6c08e5-cded-43ca-8cb3-e8be1b85c453]
现在,我想要像ERROR或INFO这样的LOGLEVEL字样进入严重性字段。
我的目标是,我希望在一个字段之后的所有内容都在一个字段中显示为ERROR或INFO。
我应该怎么做?
我在grok下面试过但是它不起作用:
%{YEAR}%{MONTHNUM}%{MONTHDAY}\s*%{HOUR}:%{MINUTE}:%{SECOND}\s*\(?<rawinfo>/^(?:(?!\s*\b(?:ERROR | ?:INFO)\b).)*/\)
这里有任何帮助吗?
谢谢!