0

你能检查一下下面的正则表达式是否有多种情况。

多种情况:

Invoice_IID
InvoiceIID:
Inovoice_IID
invoice iid
invoice_iid

日志消息是:

invoice_iid 80000000-41fb-1638-cd42-ffff08d24480

grok 过滤器是:

grok { 
  match => { "msg" => [iI]no*voice[_," "][iI][iI][dD]:? %{UUID:InvoiceIID}" } 
}

这在像http://grokconstructor.appspot.com/do/match#result这样的 grokDebugger 站点中运行良好

但是,当我运行它时,它会给出一个配置错误(检查 --configtest。)

所以请提供正确的写RE的方法??

4

2 回答 2

0

看起来你的引号是问题所在。试试这个

grok { 
  match => { "msg" => "[iI]no*voice[_, ][iI][iI][dD]:? %{UUID:InvoiceIID}" } 
}
于 2015-07-15T10:58:32.237 回答
0

这是这个问题的解决方案。

grok { 
  match => { "msg" => "[iI]no*voice[_,\" \"][iI][iI][dD]:? %{UUID:InvoiceIID}" } 
}
于 2015-07-15T11:35:06.020 回答