4.1 Extractors 入门

Extractors 的作用

Extractors 用于从原始日志中抽取字段，适合快速上手与简单场景。常见的抽取方式包括：

• Grok：基于正则模板

• Regex：自定义正则表达式

• JSON：直接解析 JSON 字段

何时使用 Extractors

• 小规模、快速解析

• 日志格式简单

• 不需要复杂条件判断

创建 Extractor 步骤

1. 打开某条日志详情

2. 点击字段区域 Extract

3. 选择 Grok/Regex/JSON

4. 测试并保存

示例（Regex）

日志：

127.0.0.1 - - [16/Feb/2026:10:00:00 +0800] "GET /api/ping HTTP/1.1" 200 12

Regex：

^(?<client_ip>\S+) .* "(?<method>\S+) (?<path>\S+)"

小结

Extractors 上手快，但不利于复杂规则与版本管理。下一章进入 Pipelines。

---

下一节：4.2 Pipelines 概念

返回目录 | 返回首页