我正在使用Splunk通过 TCP接收我的Heroku 日志。Heroku 像这样格式化这些日志:
[timestamp] [host] [source] [process] - - [message]
对于 nginx 进程,日志如下所示:
[timestamp] [host] heroku nginx - - [nginx's output]
我想使用 Splunk 的默认访问提取字段转换来处理这些日志。我查看了一些引用其他转换的其他内置转换,并尝试将其作为我的新转换的正则表达式:
(?i) heroku nginx \- \- [[access-extractions]]
但是,当我单击“保存”时,我得到:
尝试保存时遇到以下错误: In handler 'transforms-extract': Regex: range out of order in character class
从字段转换中引用其他字段转换的语法是什么?这是做我想做的最好的方法吗?