由于我的日志具有多种模式,因此我需要使用多种解剖模式,以便如果一个模式无法识别日志,则其他模式可以捕获。以下伪配置有效,
"message" => "pattern1"
或
"message" => "pattern2"
但是以下配置不起作用,
"message" => ["pattern1", "pattern2"]
解剖支持这些比赛吗?
否,dissect仅支持每个字段一个映射。
如果您的日志具有多种模式,则需要使用grok,它支持多种匹配模式。
根据日志消息的状态,您可以使用条件组合过滤消息并将每个消息发送到匹配的dissect,或结合使用grok和dissect来解析消息的常见部分。
您还可以按_dissectfailure标签进行过滤,如果您的第二个模式与dissect不匹配,它将收到此标签,然后您可以应用匹配的dissect