SumoLogic: поиск строки в начале сообщения журнала

Question

SumoLogic: поиск строки в начале сообщения журнала

В SumoLogic можно ли искать только текст в начале строки журнала?

Например, я хотел бы соответствовать:

ошибка: о боже, что-то горит!

но нет:

предупреждение: дым обнаружен! наверное просто боб жжет попкорн - без ошибок:)

я пробовал ^error: а также parse "^error:", но ни один, кажется, не соответствует.

2

regex sumologic

Источник

user33791 21 янв '15 в 21:59

1 ответ

Решение

Другие вопросы по тегам regex sumologic

user33791 21 янв '15 в 21:59 2015-01-21 21:59 · Accepted Answer · 2015-01-21 21:59

Документация Parse Regex или Extract гласит:

Оператор Parse Regex (также называемый оператором извлечения) позволяет пользователям использовать синтаксис регулярных выражений для извлечения более сложных данных из строк журнала. Parse regex можно использовать, например, для извлечения вложенных полей.

Вышеуказанный запрос может быть указан с помощью: parse regex "^(?<errorlevel>error: )"

Предполагая, что запрос регулярных выражений дороже, чем свободный текст, вы можете предварительно фильтровать с помощью: "error: " | parse regex "^(?<errorlevel>error: )",