Logtailプラグインを使用して、正規表現に基づいてログからログフィールドを抽出できます。 ログはキーと値のペアに解析されます。
エントリーポイント
Logtailプラグインを使用してログを処理する場合は、Logtail設定を作成または変更するときにLogtailプラグイン設定を追加できます。 詳細については、「概要」をご参照ください。
設定の説明
パラメーター | 説明 |
元のフィールド | ログが解析される前にログの内容を格納するために使用される元のフィールド。 デフォルト値: content。 |
正規表現 | ログの照合に使用される正規表現。
|
抽出フィールド | 抽出されたフィールド。 各ValueパラメーターのKeyパラメーターを設定します。 Keyパラメーターは、新しいフィールド名を指定します。 Valueパラメーターは、ログから抽出されるコンテンツを指定します。 |
解析に失敗した場合に元のフィールドを保持する | [元のフィールドの保持] パラメーターを選択し、解析が失敗した場合、元のフィールドは保持されます。 |
解析が成功した場合に元のフィールドを保持する | [元のフィールドを保持して解析が成功した場合] パラメーターを選択し、解析が成功した場合、元のフィールドは保持されます。 |
元のフィールドの新しい名前 | [解析が失敗した場合に元のフィールドを保持する] または [解析が成功した場合に元のフィールドを保持する] パラメーターを選択すると、元のフィールドの名前を変更して元のログの内容を保存できます。 |
設定例
生ログ
127.0.0.1 - - [16/Oct/2023:12:36:49 +0800] "GET /index.html HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"Logtailプラグインの設定
この例では、正規表現は
(\S +)\s-\s(\S +)\s\[([^]]+)]\s "(\w +)\s(\S +)\s([^"]+)\s(\d +)(\s\d +)[^-]+([^ "]+)"\s "([^"]+).*.
解析結果
