这可能是一个简单的问题,但在我的日志中,不同字段之间的空格是不确定的,这意味着在某些日志中我可以看到两个空格,而在同一个字段之间有三个空格。我们如何在GROK中容纳这个?
答案 0 :(得分:0)
Grok的核心是Regex的重叠。因此,在您的grok模式中,您可以直接使用Regex语法:
%{WORD} +%{WORD}
所以“空间+”表示一个或多个空格。 “space *”表示0或更多空格。
Grok的模式%{SPACE}与“*”
相同答案 1 :(得分:0)
您可以在grok模式中使用%{SPACE}*来匹配非标准的空格数。即使没有空格,它也会匹配。