下面是我们的日志条目,我们希望使用下面的突出显示值 Grok表达式 - http://grokdebug.herokuapp.com/discover
sys tmp usr var清除缓存 - 结束(PID:4477,QN: 51 / 51 ,ET: 0 )anaconda-post.log bin dev等家庭lib lib64丢失+发现媒体mnt opt
获得Grok表达式的上述值所需的帮助
答案 0 :(得分:0)
这对我有用:
QN: %{NUMBER:QN1}/%{NUMBER:QN2}, ET: %{NUMBER:ET}
结果如下:
{
"QN1": [
[
"51"
]
],
"BASE10NUM": [
[
"51",
"51",
"0"
]
],
"QN2": [
[
"51"
]
],
"ET": [
[
"0"
]
]
}