下面是我们的日志条目,我们希望使用格罗克表达式 -http://grokdebug.herokuapp.com/discover
sys tmp usr var 清除缓存 - END (PID: 4477, QN: 51/51, ET: 0( 蟒蛇帖子.log bin dev 等 home lib lib64 丢失+找到媒体 mnt opt
获得上述值所需的帮助 Grok 表达式
这对
我有用:
QN: %{NUMBER:QN1}/%{NUMBER:QN2}, ET: %{NUMBER:ET}
结果为以下输出:
{
"QN1": [
[
"51"
]
],
"BASE10NUM": [
[
"51",
"51",
"0"
]
],
"QN2": [
[
"51"
]
],
"ET": [
[
"0"
]
]
}