在grok中提取非常困难
(^.+)(?<thread_name>\[.+\])在上面的字符串中如何将[任何]提取到一个字段
已使用{{1}},但它会提取最后一场比赛
答案 0 :(得分:1)
(^[^\[]+)(?<thread_name>\[[^\]]+\])
这个是修改你的。它将用于提取方括号中单词的第一个匹配。如果您需要更加优化的模式,请提供更多详细信息。
输出将是:
{
"thread_name": [
[
"[anything]"
]
]
}
我建议使用Grok Debugger快速检查grok模式。