1
Splunkを使用して、Heroku logsをTCP経由で受信しています。 Herokuのは、このようなこれらのログフォーマット:nginxのプロセスのためにSplunk:フィールド変換内でのフィールド変換の参照
[timestamp] [host] [source] [process] - - [message]
を、ログには次のように出てくる:
[timestamp] [host] heroku nginx - - [nginx's output]
私はSplunkのデフォルトのアクセス・抽出フィールドtransformtionを使用してこれらのログを処理したいと思います。私は他の変換を参照変換で構築された他のいくつかを見ていたし、私の新しい変換のための正規表現としてこれを試してみました:
(?i) heroku nginx \- \- [[access-extractions]]
しかし、私は私が得る「保存」をクリックすると:
構文は何
は、他のフィールドTRAを参照するように範囲を順不同で文字クラスで: をハンドラでは「-エキス変換」: 正規表現を
は、保存しようとしているときに、次のエラーが発生しましたフィールド変換からのnsformations?これは私がやろうとしていることをする最善の方法ですか?