您好我是一种新的麋鹿也神交的图案,下面是我想创建一个神交模式的日志文件行。通过Splunk的作为解析,我需要的字段,都在“=”。
01 Aug 2017 17:58:19,048 INFO ProfileAspect[{applicationSystemCode=appname, clientIP=10.x.x.x, clusterId=Cluster-Id-NA, containerId=Container-Id-NA, correlationId=536bacc1-1b50-3866-5c8c-8d0efa037f8f, domainName=defaultDomain, hostName=ip-x-x-x.domain.com, messageId=10.x.x.23-e2250a0e-b706-4e95-8e11-5b9bf310eabd, userId=ANONYMOUS, webAnalyticsCorrelationId=66D276FF1489DFF845056FD915664268|F90B27374FD5E26D2566CEE3AFDA3AB0}]: class com.provider.base.v1.HomeBaseApiConsumer.searchTasks execution time: 15 ms
我也想捕捉它显示在这个例子中,最后一个即15毫秒的执行时间。
我想出了这显然是不工作的这神交模式。
%{MONTHDAY} %{MONTH} %{YEAR} %{TIME},%{NUMBER:duration} %{WORD:loglevel} %{WORD:Activity} [{%{(“applicationSystemCode”= \w)}
按照自定义模式的文件中,提到的是(?这里的图案)
我更新神交模式
%{MONTHDAY} %{MONTH} %{YEAR} %{TIME},%{NUMBER:duration} %{WORD:loglevel} %{WORD:Activity} \[\{(?<applicationSystemCode>\W\w+\W\w+)
我测试了regex101.com1正则表达式和它的作品,但神交调试它不工作。
任何机构可以帮助?
下面神交模式将捕获applicationSystemCode和执行时间。如果需要,也可以捕捉同样的方式等领域。
%{MONTHDAY}%{MONTH}%{YEAR}%{TIME}%{LOGLEVEL:记录级}%{WORD:活动} [{applicationSystemCode =%{WORD:applicationSystemCode}%{GREEDYDATA:MSG}执行时间:%{GREEDYDATA :时间}
希望这可以帮助。
这是在线调试器,我使用的调试我神交模式:https://grokdebug.herokuapp.com/
“\”是转义特殊字符的正则表达式。
这是一个例子,但我相信你可以从这里继续:
%{MONTHDAY} %{MONTH} %{YEAR} %{TIME} %{LOGLEVEL:loglevel} %{WORD:Profile}\[\{applicationSystemCode=%{DATATYPE:NAMEYOUGIVE}
我希望我是清楚的,这可以帮助你。