考虑字符数量
编写grok模式的困难。请帮助
我有GetIndicatorsByAnalysisProcessIDServlet service method is called,在此中如何提取GetIndicatorsByAnalysisProcess和文本getIndicatorsByanalysisprocess将不相同
我觉得在这里具有挑战性的是从向后截断字符串
我跟进
grok {
match => ["destinationid", "(?<fieldname>discard.{7})"]
}
如果我正确理解您,则需要在变量中拥有第一个单词。这是可以通过
实现的(?<fieldname>[^s]*)s*
带有样本输出
{
"fieldname": [
[
"GetIndicatorsByAnalysisProcessIDServlet"
]
]
}
,如果您有各种可选空间的起点,但是句子的结尾完全相同,有效的regexp将有所不同。