Механизм работы префикса

Префикс добавляет в поле разобранного события соответствующую дополнительную информацию. Префиксы можно использовать для однозначной идентификации сработавшего механизма разбора. Например:

1. Начальные условия (см. рисунок 1):

   • Механизм разбора – GROK Паттерн;
   • Поле – Message;
   • Параметр – ^%{GREEDYDATA:parsed_message}$.

   

   Рисунок 1 – Начальные условия механизма разбора

2. Результатом работы этого механизма является поле parsed_message. Для просмотра нажмите на кнопку Тестировать, а затем кнопку Показать результаты, перейдите на вкладку "Текущее правило разбора" и найдите нужное поле (см. рисунок 2).

   

   Рисунок 2 – Результат работы механизма разбора

3. Допустим, нам необходимо данное поле выделить и однозначно определять как получившееся в результате работы конкретного механизма разбора. Для этого добавляем ему префикс. Для этого выполните следующие действия:

   1. В блоке Правила разбора нажмите по нужному механизму в списке.

   2. В открывшемся окне в поле Префикс укажите префикс для данного механизма (см. рисунок 3).

      

      Рисунок 3 – Добавление префикса

   3. Нажмите кнопку Сохранить.

4. Нажмите на кнопку Тестировать, а затем кнопку Показать результаты, перейдите на вкладку "Текущее правило разбора". Теперь нужное поле будет иметь соответствующий префикс (см. рисунок 4).

   

   Рисунок 4 – Результат добавления префикса в механизм разбора

← Назад