Question

Я пишу код, который просто соответствует регулярному выражению в моем поиске, чтобы соответствовать полю индекса, которое соответствует app1_ , app2_ и т. Д.

Однако мой поиск ниже работает

| eventcount summarize=false index=app1_*| dedup index

Но когда я использую его, как показано ниже, это не нужно, это необходимо сделать с помощью регулярного выражения, так как я хотел бы использовать «ИЛИ» в регулярном выражении:

| eventcount summarize=false |regex index="app1_*"| dedup index

RichG · Answer 1 · 05 июня 2019

Команда regex требует использования регулярных выражений для соответствия указанному значению поля.Это не то же самое, что шаблон, используемый для сопоставления в команде eventcount.В вашем примере есть допустимое регулярное выражение, но для него нужны буквы «app1», за которыми следует ноль или более символов подчеркивания.Вы, вероятно, захотите "app1 _. ", что регулярное выражение эквивалентно шаблону "app1_ " в первом примере кода.

Оператор регулярного выражения в Splunk не работает, чтобы соответствовать результатам

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Оператор регулярного выражения в Splunk не работает, чтобы соответствовать результатам

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы