我在解析下面的模式时面临一个问题 日志文件将以==或< =或> =或<<的形式具有日志重要性或>> 我正在尝试以下自定义模式。一些日志消息可能没有这种模式,所以我使用* ((= LT;?>)*)
但是日志消息没有解析并且给出了#grokparsefailure' 请检查并建议上述模式是否错误..非常感谢
答案 0 :(得分:0)
以下模式工作正常。 ([=<>] *)
我之前使用的那个错误的是 ((= LT;?>)*)答案 1 :(得分:0)
有一点需要注意,有一种更好的方法来处理日志数据的“有些做,有些不做”。
(?<Importance>(=<>)*)
这比你想要的更多。要获得“有时”的感觉:
((?<Importance>(=<>)*)|^)
这就是说,匹配这三个字符并定义字段Importance,或保留字段未设置。
其次,您将特别匹配两个字符组合:
((?<Importance>(<|>|=){2})|^)
这应匹配您正在寻找的任何三个角色的两个实例。