我正在尝试使用grok清除ELK堆栈中的日志条目。我还有以下文字要处理:
/mnt/drive/fish/Cap Camel/Indigo - [Fair Game].jpg (34523) [2,0,34523,0,0,2,2]
/mnt/drive/fish/Cap Camel/Indigo - [Fair Game].jpg
/mnt/drive/fish/Cap Camel (1358)/Indigo - [Fair Game].jpg
我想要路径,但它包含空格,大写字母和特殊字符等?
由于
答案 0 :(得分:1)
由于你的第三个例子包含“(”,我们不能用它来发现第一行的变化。
似乎将这些线条组合在一起的唯一想法是“.jpg”。你说它可能并不总是jpg,但希望它们都有后缀。
有了这个假设 - 并且路径本身不包含任何句点,这种模式在调试器中起作用:
(?<file>[^\.]*\.[^ ]*)
“任何不是句号的东西,后跟一段时间,后跟任何不是空格的东西”。