假設我的log格式為
code:01,code:02,code:03.....
log會依當時的狀況有可能會有多組code也有可能有一組
例如
code:01
code:01,code:02
我希望可以透過grok裡的 regex 就可以產生多組field 不知道有辦法做到嗎?
例如
1. 當log code:01
希望拆解完在ES 裡 是
code1:01
2. 當log code:01,code:02
希望拆解完在ES 裡 是
code1:01
code2:02
因為code在原始的log裡有可能有多組,不是固定一個code或者是兩個code
固定兩個code 我可以寫兩個grok 來判斷
如果多個code 我就不知道要如何動態判斷幾組code 並產生相對應的多組fileds
不知是否有機會達成還是有其他方式可以處理
感謝!
code:01,code:02,code:03.....
log會依當時的狀況有可能會有多組code也有可能有一組
例如
code:01
code:01,code:02
我希望可以透過grok裡的 regex 就可以產生多組field 不知道有辦法做到嗎?
例如
1. 當log code:01
希望拆解完在ES 裡 是
code1:01
2. 當log code:01,code:02
希望拆解完在ES 裡 是
code1:01
code2:02
因為code在原始的log裡有可能有多組,不是固定一個code或者是兩個code
固定兩個code 我可以寫兩個grok 來判斷
如果多個code 我就不知道要如何動態判斷幾組code 並產生相對應的多組fileds
不知是否有機會達成還是有其他方式可以處理
感謝!
2 个回复
Dm
赞同来自:
yang4210
赞同来自: