Splunk 查询未结束
Splunk query not endswith
我刚刚开始学习 Splunk 查询,我正在尝试根据 regex 表达式从 myfile.csv 文件中获取数据。
特别是,我很期待,只打印第 fqdn 列不以 udc.net 和 htc.com.
结尾的行
下面是我正在运行的查询,但我写了两次。
| inputlookup myfile.csv
| regex support_group="^mygroup-Linux$"
| regex u_sec_dom="^Normal Secure$"
| regex fqdn!=".*?udc.net$"
| regex fqdn!=".*?htc.com$"
| where match(fqdn,".")
我正在尝试将它们与 | 分开但不起作用...
| regex fqdn!="(.*?udc.net | ".*?htc.com)$"
如果省略 | 两边的空格,组合的正则表达式将起作用。额外的空格成为正则表达式的一部分并阻止匹配。
不需要最后的 where 命令。默认情况下,Splunk 将显示匹配 ..
的所有事件
您可以使用 search 和 where 子句来做到这一点:
| inputlookup myfile.csv
| search support_group="mygroup-Linux" u_sec_dom="Normal Secure"
| where !match(fqdn,"udc.net$") AND !match(fqdn,"htc.com$")
或者只有一个 search 子句:
| inputlookup myfile.csv
| search support_group="mygroup-Linux" u_sec_dom="Normal Secure" NOT (fqdn IN("*udc.net","*htc.com")
你也可以这样重写IN():
(fqdn="*udc.net" OR fqdn="*htc.com")
我刚刚开始学习 Splunk 查询,我正在尝试根据 regex 表达式从 myfile.csv 文件中获取数据。
特别是,我很期待,只打印第 fqdn 列不以 udc.net 和 htc.com.
下面是我正在运行的查询,但我写了两次。
| inputlookup myfile.csv
| regex support_group="^mygroup-Linux$"
| regex u_sec_dom="^Normal Secure$"
| regex fqdn!=".*?udc.net$"
| regex fqdn!=".*?htc.com$"
| where match(fqdn,".")
我正在尝试将它们与 | 分开但不起作用...
| regex fqdn!="(.*?udc.net | ".*?htc.com)$"
如果省略 | 两边的空格,组合的正则表达式将起作用。额外的空格成为正则表达式的一部分并阻止匹配。
不需要最后的 where 命令。默认情况下,Splunk 将显示匹配 ..
您可以使用 search 和 where 子句来做到这一点:
| inputlookup myfile.csv
| search support_group="mygroup-Linux" u_sec_dom="Normal Secure"
| where !match(fqdn,"udc.net$") AND !match(fqdn,"htc.com$")
或者只有一个 search 子句:
| inputlookup myfile.csv
| search support_group="mygroup-Linux" u_sec_dom="Normal Secure" NOT (fqdn IN("*udc.net","*htc.com")
你也可以这样重写IN():
(fqdn="*udc.net" OR fqdn="*htc.com")