#logstash #logstash-grok
Вопрос:
ниже приведена моя строка журнала:
TPS Memory value: 123532K, 20210525 205953, ProcessInfo, Memory OOS
Я пытаюсь получить столбец «ProcessInfo» как «имя правила» в отладчике kibana grok, но не удалось с [исключение parse_exception]
шаблоны ниже:
(?<rulename>(?<=TPS Memory value: d K, d{8} d{6}, )w )
Как я могу это исправить?
Комментарии:
1. Примечание: Исключением здесь является то, что «d K» не подходит, я не хочу использовать «d {6}K «для соответствия полю, потому что длина числа в этой позиции не фиксирована
Ответ №1:
По умолчанию grok не сохраняет пустые записи (см. параметр: keep_empty_captures по умолчанию значение false).
Вы можете просто использовать :
TPS Memory value: d K, d{8} d{6}, (?<rulename>w )
Комментарии:
1. Ваше объяснение верно, спасибо за ваш ответ!