我正在为切换日志编写一个grok模式。我没有得到如何忽视"%"日志中的字符%DAEMON-3-SYSTEM_MSG
完整的日志是 -
Jul 16 21:06:50 %DAEMON-3-SYSTEM_MSG: Un-parsable frequency in /mnt/pss/ntp.drift
答案 0 :(得分:1)
这可以使用普通%字符来完成。一个效率不高的例子:
%%{NOTSPACE:switch_source}: %{GREEDYDATA:switch_message}
将设置:
{
"switch_source": [
[
"DAEMON-3-SYSTEM_MSG"
]
],
"switch_message": [
[
"Un-parsable frequency in /mnt/pss/ntp.drift"
]
]
}
百分号不是Oniguruma正则表达式中的特殊字符,因此您无需逃避它。与%{一起使用,然后与}一起使用时,就会遇到问题。但是你的log-snippet似乎没有使用那种模式。