Logtail從入門到精通（四）：正則表達式Java日誌採集實戰

時間 2019-12-10

標籤 logtail 入門精通正則表達式 java 日誌採集實戰欄目正則表達式简体版

原文原文鏈接

前言
爲簡化日誌接入門檻，咱們提供了極簡模式的日誌解析方式（如[開啓日誌採集之旅]()中的介紹）。爲了更好的對日誌進行分析，咱們還提供了其餘解析方式，例如：分隔符模式、完整正則模式、JSON模式等。本文將爲你們介紹如何使用完整正則解析模式。java

日誌解析介紹

日誌採集最終目的仍是爲了分析，一般分析都要基於結構化或半結構化的數據，所以日誌解析是整個日誌解決方案中很是重要的一個部分。解析能夠理解爲從無結構化到半結構化的過程，即將文件中一行或多行文本變爲一個個key&value對。正則表達式

示例
例如對如下日誌/log/error.log：spring

[2018-05-11T20:10:16,000] [INFO] [SessionTracker] [SessionTrackerImpl.java:148] Expiring sessions
java.sql.SQLException: Incorrect string value: '\xF0\x9F\x8E\x8F",...' for column 'data' at row 1
at org.springframework.jdbc.support.AbstractFallbackSQLExceptionTranslator.translate(AbstractFallbackSQLExceptionTranslator.java:84)
at org.springframework.jdbc.support.AbstractFallbackSQLException

能夠解析成sql

time : 2018-05-11T20:10:16,000
level : INFO
method : SessionTracker
file : SessionTrackerImpl
line : 148
message : Expiring sessions
            java.sql.SQLException: Incorrect string value: '\xF0\x9F\x8E\x8F",...' for column 'data' at row 1
            at org.springframework.jdbc.support.AbstractFallbackSQLExceptionTranslator.translate(AbstractFallbackSQLExceptionTranslator.java:84)
            at org.springframework.jdbc.support.AbstractFallbackSQLException

解析所處階段

對於不一樣的產品，日誌解析在整個鏈路中所處的位置會有必定的區別，通常分爲兩類：schema on write 和 schema on read：session

schema on write 是在進入存儲系統前就已經將數據半結構化完畢。例如ES、GrayLog、MaxCompute等
schema on read 在寫入時並不進行解析，只存儲原始數據，當讀取時再進行解析。例如Splunk、Sumologic
關於schema on write 仍是 schema on read 的比較這裏就再也不展開，目前日誌服務是採用的schema on
write形式，Logtail在寫入前會將原始日誌解析成Key&Value對。

解析方式
Logtail會不按期增長新的解析方式，具體可參考文本日誌採集。工具