Я хотел бы перехватить слово неизвестно и что-нибудь после abcd \, abcd.com \ и неизвестно
unknown
abcd\svc-backup
abcd\swt034
abcd\svc-app-login
abcd.com\chi572
abcd\daj144
abcd\smi556
abcd\mki317
abcd\aiw014
abcd\joh488
abcd\ymc965
abcd\jet041
abcd\rjo220
abcd\mst790
abcd.com\sre590
Он отлично фиксируется с помощью регулярного выражения
https://regex101.com/r/c9vdia/2/
Но когда я использую это в поиске Splunk, он просто выбрасывает мой домен
index="paloalto"| table user | rex field=user "(?P<user_name>((?:abcd\([A-Za-z0-9-]+|\w+)))"
Я получаю только доменное имя (abcd), но пользователи без домена выглядят хорошо.