Logstash 格罗克模式滤波

嗨，我是logstash和grok过滤的新手，我有一个这样的示例日志：

2017年11月1日12:00:17上午： 引发的错误是： 无误

发送的请求是： webMethod:GetOSSUpdatedOrderHeader |应用代码：OSS |地区代码：EMEA | orderKeyList:| LastModifiedDateTime:1/10/2017 11:59:13 PM|

我想过滤掉行分隔符，这是一个充满**最后一行的行 另外，当我希望能够捕获整个行时，包括：在一个字段中。例如，在上面的日志中，必须在我的grok模式的一个字段中捕获webMethod:GetOSSUpdatedOrderHeader。有没有办法做到这一点？？蒂亚。请参考所附图片了解一些提示：

日志的照片并不是一个很好的方式来为某人提供一个例子，复制并粘贴日志 这是一种构建自己的grok模式的好方法 这适用于粘贴的示例日志行：

%{NOTSPACE:webMethod}\|%{NOTSPACE:appCode}\|%{NOTSPACE:regionCode}\|%{NOTSPACE:orderKeyList}\|%{NOTSPACE:lastModifedDateTime}

但是，您所请求的可能不是您想要的，因为您只需要结果中的字段内容，而不是字段的名称。这将为您提供更合理的结果：

webMethod:%{NOTSPACE:webMethod}\|appCode:%{NOTSPACE:appCode}\|regionCode:%{NOTSPACE:regionCode}\|orderKeyList:(?:%{NOTSPACE:orderKeyList}|)\|lastModifedDateTime:%{NOTSPACE:lastModifedDateTime}

---

然后，您可能希望使用筛选器处理LastModifiedDateTime字段，以logstash可以保存到的格式获取日期戳。

对于显示日志的糟糕方式表示歉意，并感谢您的回复。2017年1月11日12:00:17 AM：引发的错误是：无错误************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************************发送的请求为：webMethod:GetOSSUpdatedOrderHeader|appCode:OSS|regionCode:EMEA|orderKeyList:|上次修改日期时间：2017年10月1日11:59:13下午|*********************************************************************************************************************************************************************************************这是自定义日志，问题中没有显示星号，我的grok模式很好，但也捕捉到了这些星星，有没有一种方法我可以丢弃或忽略这些星星？@RumblesYes有，但这是另一个问题，你能帮我理解一下语法吗？我已经尝试过如果条件发生变异，但就是不能得到它的权利！如果你问一个新问题，我可以看一看。