我正在尝试使用带有竖线"|"的日志的grok过滤器。
的例子:
D:Filestest.txt||Filtertest||2015/07/24 02:10:25 PM||Myname
我正在尝试greedydata过滤器,但不知道如何为"|"字符停止。
${GREEDYDATA:filename}||%{WORD:filter}
任何想法?
模式实际上是regexp,管道字符在regexp中表示"OR"。要去掉这个含义,请转义:
foo||bar
我找到了一个不同的解决方案。我使用gsub命令将所有|字符替换为逗号,我可以使用grok轻松过滤。
gsub => ["message", "[|]", ","]