我使用logstash来分析来自filebeat的消息。 个别消息具有以下语法:
key1: some data!....
-...data continues..special symbols ..:!?111--
whatever...1234!"..??..data..continues !!';;; blabla
key2: important data
key1的值是我想记入的多行混乱。
还请注意,key2是可选的,它可能恰巧不在日志消息中!
我想解析key2的值(如果存在),并尝试这样:
key1: (?m)%{DATA}(\nkey2:%{DATA:value})?
,但是第一个DATA块似乎与整个消息匹配,而可选部分被跳过了。
我需要第一个DATA块不要贪婪,以免跳过key2。
感谢您提出任何建议:)
答案 0 :(得分:0)
这是偶然的堆栈跟踪吗?然后,您可以过滤空格。 您的日志示例可能会有所帮助。