我有来自kafka的数据,我想将它们发送给ElasticSearch.我有一个这样的日志标签:
<TOTO><ID_APPLICATION>APPLI_A|PRF|ENV_1|00</ID_APPLICATION><TN>3</TN></TOTO>
我正在尝试grok使用grok调试器解析它:
\<ID_APPLICATION\>%{WORD:APPLICATION}\|%{WORD:PROFIL}\|%{WORD:ENV}\|%{WORD:CODE}\</ID_APPLICATION\>\<TN\>%{NUMBER:TN}\</TN\>
它有效,但有时日志有一个像这样的新字段(带有标记的字段<TP>):
<TOTO><ID_APPLICATION>APPLI_A|PRF|ENV_1|00</ID_APPLICATION><TN>3</TN><TP>new</TP></TOTO>
我想得到这个字段(TP标签)和没有的行.我怎样才能做到这一点?