1

精简版

此查询与 type、sub_type 或 missing_fields 不匹配。我可以在不使用洞察力正则表达式语法的情况下使这个查询正常工作,但我想知道我是如何弄乱解析正则表达式语法的

长版

我在 Cloudwatch 洞察查询中有一条日志行,看起来像

Extra keys detected in record for schema type "type" and sub_type "sub_type". Error: extra keys not allowed @ data['a_key'],extra keys not allowed @ data['another_key'],

我正在尝试处理它

 filter @message like /Extra keys detected/
| parse @message /Extra keys detected in record for schema type \"\[(?<type>\S+)\"\] and sub_type \"\[(?<sub_type>\S+)\"\]. Error: (extra keys not allowed @ data\[(?<missing_fields>.*)\])*,/

这可以有任意数量的缺失键。

此查询没有捕获类型和 sub_type,老实说,这是我真正需要解决的所有问题。字段名称的分组是一个非常好的奖励,因为这意味着我不需要进行任何第二遍处理。

4

0 回答 0