Поиск уникальных IP-адресов в Spunk

Question

У меня есть лишние данные, например:

{"@ timestamp": "2019-02-26T05: 12: 30.090 + 00: 00", "@ version": "1"," message ":" \ n ================> \ nПросмотреть сведения: \ n [requestId: abc118f2-qqff-10bb-a900-33cc9b88e333] \ n [requestMethod =GET] \ n [requestUrl = http://test.api.tmp.com/rawQuantities]\n[requestHeaders = {testing-id = Root = abc-123-xyz, x-forwarded-proto = https, host = test.api.tmp.com, x-forwarded-port= 443, тип контента = application / json, x-forwarded-for = xx.xx.xx.xx, accept-encoding = gzip, deflate, accept = application / json, пользовательский агент = Apache-HttpClient / 4.5.2(Java / 1.8.0_181)}] \ n [requestBodySize: 0] \ n <================> \ n ... ...}

Существует IP как: x-forwarded-for=xx.xx.xx.xx Я просто хочу отфильтровать все уникальные IP.

Я пробовал несколько комбинаций, таких как:

index=api_dev sourcetype="test-api" message="*" | spath output=field path=_raw.requestDetails.x-forwarded-for

index=api_dev sourcetype="test-api" message=x-forwarded-for*

Answer 1

Вы можете отфильтровать это следующим образом:

index=test_dev sourcetype="test-api" | rex field=message "x-forwarded-for=(?P<client_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})" | search test_ip="*"