3

我正在使用以下正则表达式:

INT (?:[+-]?(?:[0-9]+))
VALUE ([0-9]+)
SPACE \s*
DATA .*?
USERNAME [a-zA-Z0-9._-]+
YEAR (?>\d\d){1,2}
MONTHNUM (?:0?[1-9]|1[0-2])
MONTHDAY (?:(?:0[1-9])|(?:[12][0-9])|(?:3[01])|[1-9])
HOUR (?:2[0123]|[01]?[0-9])
MINUTE (?:[0-5][0-9])
SECOND (?:(?:[0-5][0-9]|60))
ISO8601_TIMEZONE (?:Z|[+-]%{HOUR}(?::?%{MINUTE}))
TIMESTAMP %{YEAR:year}/%{MONTHNUM:monthnum}/%{MONTHDAY:monthday}-%{HOUR:hour}:%{MINUTE:minute}:%{SECOND:second}.%{VALUE:_second}
MESSAGE %{DATA}ERR_SYSTEM%{DATA}
PARSE_ERROR %{TIMESTAMP:ts}%{SPACE}%{USERNAME:type1}%{SPACE}%{USERNAME:slave}%{SPACE}%{USERNAME:type2}%{SPACE}[%{USERNAME:fibre1}/USERNAME:fibre2]%{SPACE}%{MESSAGE:message}

现在我必须解析这一行:

2013/05/13-05:19:16.776 信息 abcd1 游戏报告
[0000000000000000/00000000000000000000] [GameReportingSlaveImpl:0x30bf7699a010].processReport():id=1801407398509852ER 的错误处理报告= 1801407398509852ER

解析后得到以下信息:

type1: INFO
slave : abcd1
type2: gamereportin

现在类型 2 总是错过'g'。为什么会这样?

有人可以为上述行提供正确的正则表达式吗?

4

2 回答 2

15

你在使用Grok 调试器吗?

你的 Grok 模式在哪里?我在你的帖子里没有看到。

我会使用类似于以下内容的东西来开始。由于您没有提供有关如何保存数据的见解,因此您必须在弄清楚时添加它。

%{DATESTAMP}%{SPACE}%{LOGLEVEL}%{SPACE}%{WORD}%{SPACE}%{WORD}%{SPACE}(?<some_id>\[\d+\/\d+\])

使用 Grok 调试器 - 它会为您节省大量时间。

于 2013-05-20T09:24:40.250 回答
-1

您可以使用此 grok 模式作为示例:

%{DATESTAMP:timestamp} %{LOGLEVEL:loglevel} %{WORD:slave} %{WORD:type2} \[%{GREEDYDATA:fibre1}\/%{GREEDYDATA:fibre2}\] \[%{WORD:class}\:%{WORD:pointer}\].%{WORD:method}\(\) \: %{GREEDYDATA:message}
于 2019-04-12T14:29:49.383 回答