regexp вытащить строку после ключевого слова

0

2

Доброго времени суток! Есть лог,такого вот формата

[09.08.16 16:52:55] LOGLEVEl MESSAGE

Нужно распарсить его в одной строке на составные части(для grok в logstash), т.е. дата, логлевел и сообщение. Написаны след. регэкспы

DATE (\d{2}\.\d{2}\.\d{2})
TIME (\d{2}:\d{2}:\d{2})
DATETIME %{DATE} %{TIME}
LOGLEVEL (TRACE|DEBUG|NOTICE|INFO|WARN?(?:ING)?|ERR?(?:OR)?|CRIT?(?:ICAL)?|FATAL|SEVERE|EMERG)
LOGMESSAGE ((TRACE|DEBUG|NOTICE|INFO|WARN?(?:ING)?|ERR?(?:OR)?|CRIT?(?:ICAL)?|FATAL|SEVERE|EMERG))(.*?)(\n|$)

Так вот LOGMESSAGE возвращает строку начиная от LOGLEVEL и до конца строки, по этой причине не получается использовать в одном выражении LOGLEVEL и LOGMESSAGE. Может кто подсказать, возможно ли вытащить из лога только MESSAGE, начиная от LOGLEVEL и до конца строки, не включая сам LOGLEVEL, т.е из строчки

abcdef LOGLEVEL dbhsbf[2]]3smna_/d)

,надо получить только

dbhsbf[2]]3smna_/d

. Получить с помощью регэскпа хочу получить как-то так:

```
datetime:  "09.08.16 16:52:55"
```
```
loglevel: INFO|ERROR|WARN
```
```
LOGMESSAGE:dbhsbf[2]]3smna_/d
```

Ссылка

←	выбор файла зависит от архитектуры

Настройка Django для Emacs

→

Есть лог, такого вот формата [09.08.16 16:52:55] LOGLEVEl MESSAGE Нужно распарсить его в одной строке на составные части, т.е. дата, логлевел и сообщение

И на кой хрен для этого регулярные выражения?

Zmicier ★★★★★
(27.09.16 05:56:57 MSK)

А теперь давай ты прочитаешь описание разметки LORCODE (ссылка прямо под полем ввода сообщения) и перепишешь свою нечитабельную словесную кашу с помощью переводов строк и тегов [code]..[/code], хорошо?

intelfx ★★★★★
(27.09.16 06:17:42 MSK)
Последнее исправление: intelfx 27.09.16 06:18:13 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от Zmicier 27.09.16 05:56:57 MSK

Ну необходима возможность сортировать и строить дашборды по дате, логлевлу, и желательно получать только «чистое» сообщение лога. Если подскажете, как сделать без регулярок, буду благодарен

excite
(27.09.16 06:48:36 MSK) автор топика

Ответ на: комментарий от excite 27.09.16 06:48:36 MSK

Как и чем ты раздолбил лог на отдельные строки?

deep-purple ★★★★★
(27.09.16 06:58:05 MSK)

Ответ на: комментарий от deep-purple 27.09.16 06:58:05 MSK

Раздолбил регэкспами вот этими

 DATE (\d{2}\.\d{2}\.\d{2})
TIME (\d{2}:\d{2}:\d{2})
LOGLEVEL (TRACE|DEBUG|NOTICE|INFO|WARN?(?:ING)?|ERR?(?:OR)?|CRIT?(?:ICAL)?|FATAL|SEVERE|EMERG)
LOGMESSAGE ((TRACE|DEBUG|NOTICE|INFO|WARN?(?:ING)?|ERR?(?:OR)?|CRIT?(?:ICAL)?|FATAL|SEVERE|EMERG))(.*?)(\n|$) [/]code

excite
(27.09.16 07:00:53 MSK) автор топика

Ответ на: комментарий от excite 27.09.16 07:00:53 MSK

Спрошу еще раз — на отдельные строки, а не одну строку на целевые поля.

deep-purple ★★★★★
(27.09.16 07:02:25 MSK)

Ответ на: комментарий от deep-purple 27.09.16 07:02:25 MSK

Сам лог файл пишется построчно из приложения, т.е в конце строки \n стоит. Строчки лога, долбил только на целевые поля.

excite
(27.09.16 07:14:46 MSK) автор топика

Ответ на: комментарий от Zmicier 27.09.16 05:56:57 MSK

Ты про cut ему намекнуть пытаешься?

dhameoelin ★★★★★
(27.09.16 07:21:19 MSK)

Ссылка

Ответ на: комментарий от excite 27.09.16 07:14:46 MSK

Ок. На чем долбил на поля? Я не знаючто за логсташ, там есть регексп? Сам регексп я тебе напишу быстро, но тут важно для какой шляпы его писать, может быть разница.

Ну на от балды, может не взлететь:

/^\[
(?P<DATE>\d{2}\.\d{2}\.\d{2})
\s+
(?P<TIME>\d{2}:\d{2}:\d{2})
\]\s+
(?P<LOGLEVEL>TRACE|DEBUG|NOTICE|INFO|WARN|WARNING|ERR|ERROR|CRIT|CRITICAL|FATAL|SEVERE|EMERG)
\s+
(?P<LOGMESSAGE>.*)
$/su

Переводы строк убрать, это одна спагеттина.

deep-purple ★★★★★
(27.09.16 07:26:07 MSK)

Ответ на: комментарий от deep-purple 27.09.16 07:26:07 MSK

Долбил grok'ом (анализатор текста) который встроен в logstash, поддерживает регэкспы. Спасибо за регулярку, примерно понял, что надо поправить, буду пробовать.

excite
(27.09.16 07:44:25 MSK) автор топика

Ссылка

Ответ на: комментарий от excite 27.09.16 06:48:36 MSK

Если подскажете, как сделать без регулярок, буду благодарен

Вы, например, не видите, что здесь имеют место четыре поля, разделенные пробелами?

$ line='[09.08.16 16:52:55] LOGLEVEl MESSAGE'
$ read date time loglevel message <<< "$line"
$ date=${date#[}
$ time=${time%]}
$ printf 'datetime: «%s %s» loglevel: %s LOGMESSAGE: %s\n' "$date" "$time" "$loglevel" "$message"
datetime: «09.08.16 16:52:55» loglevel: LOGLEVEl LOGMESSAGE: MESSAGE

Или, что мне кажется чуть более аккуратным, то сперва строка фиксированной длинны, а затем два поля, разделенные пробелом:

$ datetime=${line:1:17}
$ read loglevel message <<< "${line:19}"
$ printf 'datetime: «%s» loglevel: %s LOGMESSAGE: %s\n' "$datetime" "$loglevel" "$message"
datetime: «09.08.16 16:52:55» loglevel: LOGLEVEl LOGMESSAGE: MESSAGE

Zmicier ★★★★★
(27.09.16 09:27:16 MSK)

Ссылка

Пиши лог сразу в нормальном формате, чтобы потом не изобретать его разбор.

anonymous
(27.09.16 11:32:00 MSK)

Ответ на: комментарий от anonymous 27.09.16 11:32:00 MSK

ребята которые написали сервис, не очень заморачивались по поводу логформата

excite
(28.09.16 00:47:29 MSK) автор топика

Ответ на: комментарий от excite 28.09.16 00:47:29 MSK

Так как успехи? У вас еще остались вопросы?

Zmicier ★★★★★
(02.10.16 20:49:53 MSK)

12 января 2017 г.

Ответ на: комментарий от Zmicier 02.10.16 20:49:53 MSK

Лучше поздно чем никогда В итоге вышло для грока

FULL_LOG %{WORKER:worker} #\d+	\[%{DATETIME_PR:timestamp}\] %{LOGLEVEL:loglevel}: %{GREEDYDATA:_message}

где

GREEDYDATA .*

excite
(12.01.17 21:17:36 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	выбор файла зависит от архитектуры

Development

Настройка Django для Emacs

→

Похожие темы