这可能是一个简单的问题,但是在我的日志中,不同字段之间的空格是不确定的,这意味着在某些日志中,我可以看到两个空格,而在相同字段之间则可以看到三个空格。我们如何在GROK中容纳这个?
Grok的核心是Regex的叠加层。因此,在您的grok模式中,您可以直接使用Regex语法:
%{WORD} +%{WORD}
因此,“ space +”表示一个或多个空格。 “ space *”表示0个或多个空格。
Grok还具有与“ *”等效的模式%{SPACE}
您可以在grok模式中使用%{SPACE}*来匹配非标准的空格数。即使没有空格,它也会匹配。