1

在 SumoLogic 中,是否可以仅搜索日志行开头的文本?

例如,我想匹配:

错误:天哪,有东西着火了!

但不是:

警告:检测到烟雾!可能只是鲍勃烧爆米花——没有错误:)

我试过^error:and parse "^error:",但似乎都不匹配。

4

1 回答 1

0

Parse Regex 或 Extract文档指出:

Parse Regex 运算符(也称为提取运算符)使用户能够熟悉正则表达式语法以从日志行中提取更复杂的数据。例如,可以使用解析正则表达式来提取嵌套字段。

可以使用以下方式指定上述查询:parse regex "^(?<errorlevel>error: )"

假设正则表达式查询比自由文本更昂贵,您可以使用预过滤:"error: " | parse regex "^(?<errorlevel>error: )"

于 2015-01-21T21:59:37.707 回答