Удалить символы из поля сообщения в Spunk

Question

Я ищу определенные c коды событий в splunk, так что первая часть поля сообщения начинается с "A member was added to a security-enabled global group". После этого у него появилось гораздо больше информации, которую мне не нужно видеть. Я пробовал следующие поиски, но я не получаю желаемых результатов.

Этот поиск не внес изменений в сообщение:

index="win_evt" EventCode=4728  | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table  _time, Account_Name, Group_Name, Message, EventCode, Message

Этот поиск полностью удалил сообщение:

index="win_evt" EventCode=4728  | eval Message = trim(replace(Message,".*","")) | table  _time, Account_Name, Group_Name, Message, EventCode, Message

Это также ничего не дает:

index="win_evt" EventCode=4728  | rex field=Message mode=sed "s/\..*$//" | table  _time, Account_Name, Group_Name, Message, EventCode, Message

Все, что я хочу, чтобы | table Message показал, это первая строка.

Answer 1

Вам, вероятно, следует опубликовать пример события, чтобы объяснить, что вы делаете.

Предполагая, что это rex правильно, | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)", это помещает извлеченные данные в новое поле, называемое Notes. В вашей команде table есть поля _time, Account_Name, Group_Name, Message, EventCode, Message. Я думаю, вы должны заменить Message на Notes, поэтому ваш поиск должен быть

index="win_evt" EventCode=4728 | rex field=Message "(?<=A:)(?<Notes>.*)(?=.)" | table _time, Account_Name, Group_Name, Message, EventCode, Notes

Или достаточно только следующего:

index="win_evt" EventCode=4728 | rex field=Message "^(?<firstline>.*)" | table _time, Account_Name, Group_Name, firstline, EventCode