这可能是一个简单的问题,但在我的日志中,不同字段之间的空格是不确定的,这意味着在某些日志中,我可以看到两个空格,在相同的字段之间可以看到三个空格。我们如何在 GROK 中适应这种情况?
您可以在grok 模式中使用%{SPACE}*来匹配 uncertian 的空格数。即使存在空格,它也会匹配。
Grok 的核心是正则表达式的覆盖。 所以在你的 grok 模式中,你可以直接使用 Regex 语法:
%{WORD} +%{WORD}
所以"空格+"意味着一个或多个空格。 "空格*"表示 0 个或多个空格。
Grok 还有一个模式 %{SPACE},它等价于 "*">