搜索多行正则表达式
Search over multiple lines regex
我尝试通过包含多个日志条目模式的搜索来查找日志。例如
time n :Post Request xyz
time n1 :requestCode --> 401
我尝试使用正则表达式
conf_file=xyz | regex "Post\sRequest\sxyz\r\n.*401"
我用另一个编辑器检查了正则表达式,它工作正常。然而,Splunk 从未找到结果。所以我的问题是如何在这两行中搜索该模式?
regex 命令与大多数其他 SPL 命令一样,只查看当前事件。有一些方法可以组合事件,例如使用 transaction,然后对组合值使用 regex。
事件,除非你做一些props.conf操作,否则每个事件都是一行
所以你遇到的问题是你试图将单独的事件(没有[明显的]共性)组合成一个事件
如果你有time n和time n1之间的关系,那么你可以做一些stats 处理合并它们
但没有实际样本数据,将很难进一步提供帮助:)
我尝试通过包含多个日志条目模式的搜索来查找日志。例如
time n :Post Request xyz
time n1 :requestCode --> 401
我尝试使用正则表达式
conf_file=xyz | regex "Post\sRequest\sxyz\r\n.*401"
我用另一个编辑器检查了正则表达式,它工作正常。然而,Splunk 从未找到结果。所以我的问题是如何在这两行中搜索该模式?
regex 命令与大多数其他 SPL 命令一样,只查看当前事件。有一些方法可以组合事件,例如使用 transaction,然后对组合值使用 regex。
事件,除非你做一些props.conf操作,否则每个事件都是一行
所以你遇到的问题是你试图将单独的事件(没有[明显的]共性)组合成一个事件
如果你有time n和time n1之间的关系,那么你可以做一些stats 处理合并它们
但没有实际样本数据,将很难进一步提供帮助:)