Лучший способ построения шаблонов гроков - начать с левой стороны и постепенно продвигаться вправо, пока не закончите.Отладка «завершенного» шаблона - это наоборот - снимайте материал, пока он не начнет работать.
В вашем случае, даже этот более короткий шаблон не соответствует:
%{TIMESTAMP_ISO8601:timestamp} \s*\|\s*%{LOGLEVEL:loglevel} | %{DATA:data}:
Можете ли вы его увидеть?теперь легче?Да, вы не избежали символа канала до data.
Как только вы это исправите, вы можете продолжать добавлять части обратно, пока не обнаружите, что folder не соответствует.Это потому, что у вас есть один пробел в шаблоне только внутри скобок (с обеих сторон).
Пену, промойте, повторите.