#regex #splunk
#регулярное выражение #splunk
Вопрос:
У меня есть файл журнала такого типа:
182.236.164.11 - - [04/Mar/2019:18:20:56] "GET /cart.do?action=addtocartamp;itemId=EST-15amp;productId=BS-AG-G09amp;JSESSIONID=SD6SL8FF10ADFF53101 HTTP 1.1" 200 2252 "http://www.buttercupgames.com/oldlink?itemId=EST-15" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_4) AppleWebKit/536.5 (KHTML, like Gecko) Chrome/19.0.1084.46 Safari/536.5" 506
Я пытаюсь создать регулярное выражение, соответствующее только слову Intel, независимо от относительного положения строки.
Я придумал это регулярное выражение:
^[^;n]*;s
Но это не всегда работает, поскольку оно также будет соответствовать другим строкам.
Я хочу сопоставить строку Intel только для того, чтобы создать поле в Splunk.
Приветствуются любые входные данные.
Комментарии:
1. В вашем сообщении неясно, что вы хотите сделать после сопоставления со словом
Intel? Для сопоставления достаточно просто intelbIntelb. Можете ли вы добавить еще немного контекста к своему сообщению?2. Спасибо. Я пытаюсь создать поля в Splunk только с этой конкретной строкой «Intel».
Ответ №1:
Этот запрос будет выполнять то, что вы говорите, что хотите, хотя я не вижу в этом смысла. Если вы расскажете больше о том, какова ваша конечная цель, тогда я, возможно, смогу дать лучший ответ.
index=foo "Intel" | rex "(?<Intel>Intel)"