Я использую Splunk для получения моих журналов Heroku по TCP. Heroku форматирует эти журналы так:
[timestamp] [host] [source] [process] - - [message]
Для процесса nginx логи выглядят так:
[timestamp] [host] heroku nginx - - [nginx's output]
Я бы хотел обработать эти журналы, используя преобразование поля доступа-экстракций по умолчанию для Splunk. Я посмотрел на некоторые другие встроенные преобразования, которые ссылаются на другие преобразования, и попробовал это как регулярное выражение для моего нового преобразования:
(?i) heroku nginx \- \- [[access-extractions]]
Однако, когда я нажимаю «Сохранить», я получаю:
Обнаружена следующая ошибка при попытке сохранить:
В обработчике 'transforms-extract':
Regex: диапазон не в порядке в классе символов
Каков синтаксис для ссылки на другие преобразования поля из преобразования поля? Это лучший способ сделать то, что я пытаюсь сделать?