Я уверен, что есть простое решение, но я новичок в работе с Logstash. Фильтр, который я пытаюсь применить, предназначен для некоторых журналов брандмауэра, и у меня есть поле, которое будет иметь одно или два значения, разделенных двоеточием.
X16-V523 X16-V523: example.com
Я использовал для строки с двумя значениями,
% {GREEDYDATA: srcint}:% {GREEDYDATA: srchost}
Как сделать вторую часть матча необязательной?
Крис
Это должно сработать.
(%{GREEDYDATA:srcint}:%{GREEDYDATA:srchost})|(%{GREEDYDATA:srcint})
также протестируйте с http://grokdebug.herokuapp.com/