如何使用正则表达式在一行中计算 splunk 日志中的 ID
How can I count ids in splunk logs in one line with regex
我有这样的日志:
段 5bbdf7b8bbdd3c685a2110bf:UserMap 是 [512205885、512112460、512369891、512316786、58587803、506882296]
段 5bbdf7b8bbdd3c685a2110bf:UserMap 是 [514348564, 506722271, 513844106, 513725157]
段 5bbdfd69bbdd3c685a21129b:UserMap 是 [502062935]
我想要统计信息,我可以在其中看到 userMap 中与该段相关的 ID 数量。喜欢:
5bbdf7b8bbdd3c685a2110bf - 6
5bbdf7b8bbdd3c685a2110bf - 4
5bbdfd69bbdd3c685a21129b - 1
我认为你不能用正则表达式完成所有的事情,但这个搜索应该让你朝着正确的方向前进。
<your base search> | rex "Segment (?<Segment>[^:]+)"
| rex max_match=0 "UserMap is \[(?<id>\d+)"
| idCount=mvcount(id) | table Segment idCount
我有这样的日志: 段 5bbdf7b8bbdd3c685a2110bf:UserMap 是 [512205885、512112460、512369891、512316786、58587803、506882296]
段 5bbdf7b8bbdd3c685a2110bf:UserMap 是 [514348564, 506722271, 513844106, 513725157]
段 5bbdfd69bbdd3c685a21129b:UserMap 是 [502062935]
我想要统计信息,我可以在其中看到 userMap 中与该段相关的 ID 数量。喜欢:
5bbdf7b8bbdd3c685a2110bf - 6
5bbdf7b8bbdd3c685a2110bf - 4
5bbdfd69bbdd3c685a21129b - 1
我认为你不能用正则表达式完成所有的事情,但这个搜索应该让你朝着正确的方向前进。
<your base search> | rex "Segment (?<Segment>[^:]+)"
| rex max_match=0 "UserMap is \[(?<id>\d+)"
| idCount=mvcount(id) | table Segment idCount