splunk 中的负正则表达式(不使用字段)

Negative regex in splunk (not using fields)

不提取字段,我想搜索任何不包含 "country=$" 的事件,即事件不得以 "country=" 结尾。我可以将其正则表达式为 "country=(?!$)",但这仍然需要国家/地区出现在事件中,这不是我想要的。

示例: 我的搜索:

source=*vhost* | regex "country=(?!$)"

事件:

language=en&country=&playerId=29539105

language=en&country=

general error

我想排除中间的那个,同时仍然打另外两个。我可以在常规的正则表达式评估器中做到这一点,但 splunk 似乎并不以相同的方式读取正则表达式。

在常规的正则表达式解释器中,我已经匹配了 (?!(country=$)),但 splunk 不理解这一点,并命中所有事件。

找到问题的一种解决方案,如果不是特定于正则表达式的话:

regex _raw!="country=$"