specify/access Splunk 分隔字段中特定项目的最佳方法是什么?
What is the best way to specify/access a specific item in a delimited field in Splunk?
我对正则表达式等还很陌生,我曾尝试寻找类似的答案,但没有想到什么。
我正在尝试使用正则表达式优化 Splunk 中的搜索。有什么方法可以定义分隔字段并只关注该区域吗?
例如:
hxxps://example.com/examplefolder/examplestring/
我想只在 字段中匹配条件,我知道使用 $ 将设置字符串的结尾但是我只需要匹配它是从开头的 'fourth' 字段字符串,如果分隔符是 '/'
到目前为止,我只是使用 \/[a-zA-Z0-9]{10,15}\/$ 来匹配长度在 10 到 15 之间的字符,它基于最后一个字段进行匹配,但其他条目也与此匹配,例如:
hxxps://example.com/examplestring2/
是否有关于如何使用正则表达式将匹配集中到使用“/”作为分隔符的字符串集 'field' (field4) 的建议?
hxxps:/<field1>/<field2>/<field3>/<field4>/<field5>
我把自己弄糊涂了,只是想解释一下我在追求什么,所以请随时询问我,我说的毫无意义。
您可以考虑结合使用 eval functions split 和 mvindex:
index=ndx sourcetype=srctp url=*
| eval url_parts=split(url,"/")
| eval segment=mvindex(url_parts,4)
我对正则表达式等还很陌生,我曾尝试寻找类似的答案,但没有想到什么。
我正在尝试使用正则表达式优化 Splunk 中的搜索。有什么方法可以定义分隔字段并只关注该区域吗? 例如:
hxxps://example.com/examplefolder/examplestring/
我想只在
到目前为止,我只是使用 \/[a-zA-Z0-9]{10,15}\/$ 来匹配长度在 10 到 15 之间的字符,它基于最后一个字段进行匹配,但其他条目也与此匹配,例如:
hxxps://example.com/examplestring2/
是否有关于如何使用正则表达式将匹配集中到使用“/”作为分隔符的字符串集 'field' (field4) 的建议?
hxxps:/<field1>/<field2>/<field3>/<field4>/<field5>
我把自己弄糊涂了,只是想解释一下我在追求什么,所以请随时询问我,我说的毫无意义。
您可以考虑结合使用 eval functions split 和 mvindex:
index=ndx sourcetype=srctp url=*
| eval url_parts=split(url,"/")
| eval segment=mvindex(url_parts,4)