想要在不同的字段中使用grok分割以下cookie信息。
案例1
ID = 279ddd995; +用户=演示; +国家= GB
输出
{ “id”:“279ddd995”, “用户”:“演示”, “country”:“GB”, }
答案 0 :(得分:1)
尝试以下grok模式
filter {
grok {
match => ["message", "id=(?<id>[^;]+);.*?user=(?<user>[^;]+);.*?country=(?<country>[^;]+).*?"]
}
}
答案 1 :(得分:1)
您可以使用键/值对方便地提供数据。您可以使用kv {}过滤器将它们分开,而不是为每个字段创建一个正则表达式。这具有以任何顺序一般处理任何键的附带好处。