堆棧內存溢出
  簡體   English   中英

REQ:協助Splunk-Rex查詢

[英]REQ: Assistance with Splunk - Rex Query

 原文  2019-03-24 21:38:04       regex/ splunk/ rex

問題描述

我在rex查詢中遇到一些問題,其中一位數字的日期會顯示錯誤的結果,而兩位數字的日期會提供正確的結果。

這些是我正在查詢的日志條目: 

Mar  7 14:24:29 10.52.176.215 Mar  7 12:24:29 963568 - Melbourne details-cable-issue - vdvfvfv

Mar 20 09:52:55 10.52.176.215 Mar 20 07:52:55 963569 - Brisbane cable-issue

這是查詢: 

^(?:[^ \n]* ){7}(?P<extension>[^ ]+)[^\-\n]*\-\s+(?P<location>\w+)

對於3月7日條目,我的查詢給了我組擴展名“ 7”,而我3月20日條目給了我組擴展名“ 963569”,這是正確的。

有人可以闡明我的查詢來確認一個兩位數的日期嗎? #7 vs 20

謝謝大家:)

1 個解決方案

解決方案1
 0 已采納  2019-03-24 21:44:12

第一個字符串中有幾個連續的空格(它們看起來像填充空格),並且由於您僅匹配(?:[^ \\n]* )中的一個空格,因此會出現不匹配的情況。

我建議匹配第一組中的1個或多個空格並調整限制量詞: 

^(?:[^ \n]* +){5}(?P<extension>[^ ]+)[^-\n]*-\s+(?P<location>\w+)
            ^  ^

正則表達式演示

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用“ rex”的Splunk查詢失敗,並出現“ SearchParser”錯誤:REST API上的“ ^”之前缺少搜索命令 Splunk rex:將重復的鍵和值提取到表中 正則表達式適用於Splunk rex中除1.00以外的所有代碼 Splunk:如何使用正則表達式提取字段? 就像rex在splunk搜索中一樣 Splunk rex 提取字段,我很接近但無法匹配 在 Splunk 中使用 rex 命令創建正則表達式以返回 xml 子元素 Splunk 搜索查詢 Splunk 查詢不以 Splunk正則表達式查詢未返回任何結果 基於正則表達式的splunk查詢
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM