我确信有一个简单的解决方案,但我刚开始使用 Logstash。我尝试应用的过滤器用于一些防火墙日志,并且我有一个字段,该字段将包含一个或两个用冒号分隔的值。
X16-V523 X16-V523:example.com
我一直使用有两个值的线,
%{GREEDYDATA:源}:%{GREEDYDATA:源主机}
我如何使比赛的第二部分成为可选部分?
克里斯
答案1
这应该可以。
(%{GREEDYDATA:srcint}:%{GREEDYDATA:srchost})|(%{GREEDYDATA:srcint})