在 SPLUNK 中出现 "Regex: syntax error in subpattern name (missing terminator)." 错误
Getting Error as "Regex: syntax error in subpattern name (missing terminator)." in SPLUNK
我一直在 Splunk 中提取字段,这看起来对所有 header 都能正常工作,但对于 header l-s-m,我得到的错误是 [=21] =]
我对其他 headers 和所有作品都做了类似的工作,但这是唯一一个 header 带有 "hypen" 标志的错误,我已经尝试了多次,但是这个没有帮助。
Headers:
Content-Type: application/json
Accept: application/json,application/problem json
l-m-n: txxxmnoltr
Accept-Encoinding:gzip
我正在尝试的正则表达式是 SPLUNK 中的 "rex field=u "l-m-n: (?<l-m-n>.*)"。你能在这里指导我吗?
rex 无法提取到带连字符的字段名称中。但是,您可以使用 rename
解决此问题
| rex field=u "l-m-n: (?<lmn>.*)" | rename lmn AS "l-m-n"
一般来说,我会避免在字段名称中使用连字符,因为它可能会被误认为减号。如果要使用字段 l-m-n,则需要在所有地方引用它,例如 'l-m-n'。 我强烈建议您坚持使用字段名称 lmn.
尝试运行以下内容以了解我的意思
| makeresults | eval l-m-n=10 | eval l=1 | eval m=1 | eval n=1 | eval result_noquote=l-m-n | eval result_quoted='l-m-n'
我一直在 Splunk 中提取字段,这看起来对所有 header 都能正常工作,但对于 header l-s-m,我得到的错误是 [=21] =]
我对其他 headers 和所有作品都做了类似的工作,但这是唯一一个 header 带有 "hypen" 标志的错误,我已经尝试了多次,但是这个没有帮助。
Headers:
Content-Type: application/json
Accept: application/json,application/problem json
l-m-n: txxxmnoltr
Accept-Encoinding:gzip
我正在尝试的正则表达式是 SPLUNK 中的 "rex field=u "l-m-n: (?<l-m-n>.*)"。你能在这里指导我吗?
rex 无法提取到带连字符的字段名称中。但是,您可以使用 rename
| rex field=u "l-m-n: (?<lmn>.*)" | rename lmn AS "l-m-n"
一般来说,我会避免在字段名称中使用连字符,因为它可能会被误认为减号。如果要使用字段 l-m-n,则需要在所有地方引用它,例如 'l-m-n'。 我强烈建议您坚持使用字段名称 lmn.
尝试运行以下内容以了解我的意思
| makeresults | eval l-m-n=10 | eval l=1 | eval m=1 | eval n=1 | eval result_noquote=l-m-n | eval result_quoted='l-m-n'