我有一个drupal watchdog syslog文件,我想将其解析为两个嵌套字段,即syslog部分和message部分,以便得到此结果
syslogpart: {
timestamp: "",
host: "",
...
},
messagepart:{
parsedfield1: "",
parsedfield2: "",
...
}
我尝试制作一个自定义模式,如下所示:
DRUPALSYSLOG (%{SYSLOGTIMESTAMP:date} %{SYSLOGHOST:logsource} %{WORD:program}: %{URL:domain}\|%{EPOCH:epoch}\|%{WORD:instigator}\|%{IP:ip}\|%{URL:referrer}\|%{URL:request}\|(?<user_id>\d+)\|\|)
然后运行 match => ['message', '%{DRUPALSYSLOG:drupal}'}
但是我没有嵌套的响应,我得到了一个文本块drupal: "ALL THE MATCHING FIELDS IN ONE STRING",然后所有的匹配项也分开了,但是没有嵌套在drupal下,而是嵌套在同一级别上。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句