我必须使用logstash(它没有编解码器)来解析具有可变多行条目的日志文件。
我简单地将多行编解码器与正则表达式一起用于条目的第一行,并将select doc_id
from table t
group by doc_id
having min(currency) = max(currency) and min(currency) = 'EUR';
,what => "previous"用于后面的行,这是相当非结构化的。
然后我使用grok过滤器。问题是如何摆脱以下冗余:我已经为多行编解码器使用了正则表达式,而后来为grok使用了一个非常类似的正则表达式?