我有以下文本,我需要从中提取最后一个称为“总计”的文本。您可能已经注意到,该日志文件是多行的,因此我基于此https://regex101.com/r/cO8lqs/16461创建了一个负数超前正则表达式过滤器,并请注意该标记(单行)。这很好。但是,这是我遇到的问题,我无法将此正则表达式转换为grok消息过滤器,而我希望它是这样的(?(/ total(?!。* total)/ s))
totalfoo abc total foo total
total anything foo here total
total skdajfaslkdfj total
total, bla bla 123c 3423432 23:30AM
total qwe e qe qwe w q
total
junk skdajfaslkdfj junk
junl, bla bla 123c 3423432 23:30AM
junk qwe e qe qwe w q
我刚开始使用logstash,将此regex101模式转换为grok的任何帮助都将非常有帮助。