datadog日志中的日期解析

Question

这是 datadog 中日志条目的一部分：

“[2024-08-29 11:19:00,049] snipeit INFO {'byod'：错误...}”

我只是想解析日期，然后解析日志名，然后解析后面的 json。

这是我的解析规则：

parsing_rule \[%{date("yyyy-MM-dd HH:mm:ss.SSS z"):date}\] %{word:logname} %{notSpace:INFO} %{data::json}

它没有提供任何匹配项，我不确定为什么？

Answer 1

你的解析规则应该是这样的：

parsing_rule \[%{date("yyyy-MM-dd HH:mm:ss,SSS"):date}\] %{word:logname} %{notSpace:INFO} %{data::json}

您的日期没有时区，因此您不需要

，而且您输入的日期有

而不是

来分隔毫秒。

这会起作用，但请注意 json 没有被解析，这是因为您的示例片段是无效的 json。你需要使用双引号来定义字符串，并且布尔值都是小写的，所以

False

是无效的。该字符串需要看起来像

{"byod":false}

才能正确解析。