未系统学习elk,随手记
先按定义域fileds筛选,如fileds.a fileds.b fileds.c,然后对message部分进行字段刷新,一对竖线 || 之间的字符串整体为一个字段,再对字段的一个连续字符串进行筛选,字符串筛选需要用一对双反斜线 \\\\ 括起来。如 fields.app:"order-service" AND "ERROR" AND "\\stringsxxx\\"
