Мой вопрос касается того, как использовать шаблон Grok.
Я знаю, что для данного существующего шаблона Grok я могу использовать следующий синтаксис для присвоения значений полю:
%{DATESTAMP_RFC822:timestamp}
Я также знаю, что могу создать свой собственный шаблон и использовать его с полем PatternDir.
Мой вопрос: могу ли я использовать комбинацию шаблонов Grok для анализа и присвоения значения полю?
Например, вот «определение» шаблона DATESTAMP_RFC822:
DATESTAMP_RFC822 = %{DAY} %{MONTH} %{MONTHDAY} %{YEAR} %{TIME} %{TZ}
Если я не хочу, чтобы %{TZ} был частью шаблона, как мне использовать остальную часть шаблона для анализа и назначения метки времени? Что-то подобное ...
?<timestamp>%{DAY} %{MONTH} %{MONTHDAY} %{YEAR} %{TIME}
Я знаю, что вышеописанное не работает. Но, надеюсь, понятно, чего я хочу добиться.
