1
我使用Splunk通过TCP接收我的Heroku logs。 Heroku的格式这些日志是这样的:Splunk:在字段转换中引用字段转换
[timestamp] [host] [source] [process] - - [message]
对于nginx的过程中,日志出来是这样的:
[timestamp] [host] heroku nginx - - [nginx's output]
我想处理采用Splunk的默认接入提取场transformtion这些日志。我看了一下其他一些建在引用其他变革,并试图以此为正则表达式为我的新的转型变革:
(?i) heroku nginx \- \- [[access-extractions]]
然而,当我点击“保存”我得到:
遇到尝试保存以下错误: 在处理“转变提取物”: 正则表达式:范围不按顺序在字符类
有什么语法来引用其他领域TRA从一个字段转换的信息?这是做我想做的最好的方法吗?