Logtail プラグインを使用して、正規表現に基づいてログからフィールドを抽出できます。この場合、ログは複数のキーと値のペアに解析されます。
エントリ ポイント
Logtail プラグインを使用してログを処理する場合、Logtail 構成を作成または変更するときに Logtail プラグイン構成を追加できます。詳細については、「概要」をご参照ください。
構成の説明
パラメーター | 説明 |
元のフィールド | 解析前のログコンテンツを格納する元のフィールド。デフォルト値: content。 |
正規表現 | ログの照合に使用される正規表現。
|
抽出されたフィールド | 抽出されたフィールド。各 [値] パラメーターに [キー] パラメーターを設定します。[キー] パラメーターは新しいフィールド名を指定します。[値] パラメーターは、ログから抽出されるコンテンツを指定します。 |
解析に失敗した場合、元のフィールドを保持する | 生のログの解析に失敗した後に取得される新しいログに元のフィールドを保持するかどうかを指定します。 |
解析に成功した場合、元のフィールドを保持する | 解析後に取得される新しいログに元のフィールドを保持するかどうかを指定します。 |
元のフィールドの新しい名前 | 保持する元のフィールドの新しい名前。[解析に失敗した場合、元のフィールドを保持する] または [解析に成功した場合、元のフィールドを保持する] を選択した場合は、元のログ コンテンツを格納する元のフィールドの名前を変更できます。 |
構成例
生のログ
127.0.0.1 - - [16/Oct/2023:12:36:49 +0800] "GET /index.html HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36"Logtail プラグイン構成
この例では、正規表現は
(\S+)\s-\s(\S+)\s\[([^]]+)]\s"(\w+)\s(\S+)\s([^"]+)"\s(\d+)(\s\d+)[^-]+([^"]+)"\s"([^"]+).*に設定されています。
解析結果
