Regex 基于正则表达式的splunk计数查询

我的示例日志如下所示

fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked

日志模式是

“固定消息：{UUID}-{event type}”

我想记录总共有多少个事件；其中有多少是“事件放置”、“事件保持活动”和“事件验证”被撤销

我可以使用splunk查询来捕获上述需求吗？

您可以使用它来原型化字段提取，这样您就可以先试用它了

rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"

rex“固定消息：（？P\w+-\w+\w+）-（？P.*）”

所以你可以这样做：

搜索词

|rex“固定消息：（？p[^-+]-[^-+]-[^-+]-[^-+]）-（？p.*）按事件统计统计

然后，您可以阅读，使其成为您不需要在搜索中始终执行rex命令的位置。因此，字段提取是自动进行的