Splunk-запрос для фильтрации результатов в журнале IIS для определения значений CRYPT_Protocol менее 400

Question

Я пытаюсь найти выражение регулярного выражения, чтобы помочь отфильтровать нежелательные результаты из загруженных журналов IIS, чтобы при отображении ответа CRYPT_PROTOCOL меньше 400.

Answer 1

На самом деле мы смогли понять это.Мы разбили журнал на поля в регулярном выражении, а затем создали таблицы в splunk оттуда - вот так.

index = "msexchange" sourcetype = MSWindows: 2016W3SVC1: IIS earliest = "02/07/2019: 09:00:00 "latest =" 02/07/2019: 09: 30: 00 "|поле rex = _raw "(? \ d {4} - \ d {2} - \ d {2}) \ s (? \ d {2}: \ d {2}: \ d {2}) \ s (? \ S *) \ S (\ W +) \ S (\ S *) \ S (\ S *?? [; -]) \ S (\ S *) \ S (\ S *) \ ы?(? \ S *) \ S (? \ S *) \ S (? [\ ш.] +) \ S (? \ S *) \ S (? \ S *) \ S (? \ S *) \s (? \ S *) \ s (? \ S *) \ s (? \ S *) \ s (? \ S *) \ s (? \ S *) "|где криптопротокол <400 |таблица _time sip csmethod sport csusername cip csuseragent cshost csstatus cssubstatus cswin32status scbytes csbytes полученное время originalip криптопротокол |сортировка 0 - время </p>