Regex 基于正则表达式的splunk计数查询
我的示例日志如下所示Regex 基于正则表达式的splunk计数查询,regex,logging,splunk,Regex,Logging,Splunk,我的示例日志如下所示 fixed message: 443-343-234-event-put fixed message: wre-sdfsdf-234-event-keep-alive fixed message: dg34-343-234-event-auth_revoked fixed message: qqqq-sdf-234-event-put fixed message: wre-r323-234-event-keep-alive fixed message: we33-343-2
fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked
日志模式是“固定消息:{UUID}-{event type}”
我想记录总共有多少个事件;其中有多少是“事件放置”、“事件保持活动”和“事件验证”被撤销
我可以使用splunk查询来捕获上述需求吗?您可以使用它来原型化字段提取,这样您就可以先试用它了
rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"
rex“固定消息:(?P\w+-\w+\w+)-(?P.*)”
所以你可以这样做:
搜索词|rex“固定消息:(?p[^-+]-[^-+]-[^-+]-[^-+])-(?p.*)按事件统计统计
然后,您可以阅读,使其成为您不需要在搜索中始终执行rex命令的位置。因此,字段提取是自动进行的