Splunkを使用してHerokuログをTCP経由で受信しています。Herokuは、これらのログを次のようにフォーマットします。
[timestamp] [host] [source] [process] - - [message]
nginxプロセスの場合、ログは次のように出力されます。
[timestamp] [host] heroku nginx - - [nginx's output]
Splunkのデフォルトのアクセス抽出フィールド変換を使用してこれらのログを処理したいと思います。他の変換を参照する他の組み込み変換のいくつかを見て、これを新しい変換の正規表現として試しました。
(?i) heroku nginx \- \- [[access-extractions]]
ただし、[保存]をクリックすると、次のようになります。
保存しようとしたときに次のエラーが発生しました:ハンドラー内'transforms-extract':正規表現:文字クラスの範囲が正しくありません
フィールド変換内から他のフィールド変換を参照するための構文は何ですか?これは私がやろうとしていることをするための最良の方法ですか?