Splunk 로그인에서 정보를 추출하는 방법은 무엇입니까?
1907 단어 devopsmonitoringproductivitysre
이를 지원하기 위해 Splunk에는 rex 명령이 있습니다.
어떻게 작동합니까?
명령
그것을 사용하는 가장 간단한 방법은
| rex regex
이 명령을 사용하면 전체 로그에서 요소를 검색합니다.
특정 필드에서 검색하려면 field= 및 필드 이름을 추가하십시오.
| rex field= regex
예시
| rex field=uri *regex*
정규식
정규식을 작성하는 방법에 대해서는 다음 패턴을 따라야 합니다.
[Regex about the text before the desired value][Regex about the desired value][Regex about the text after the desired value]
첫 번째와 마지막 부분은 정말 고전적인 정규식처럼 보입니다.
그런데 중간 부분이 좀 특이하다.
(?\w+)
이렇게 작성하면 새 데이터를 삽입하려는 필드를 선언하고 값에 해당하는 정규식을 갖게 됩니다.
또한 단일 rex 명령에서 여러 데이터를 검색할 수 있습니다.
예
사용자 이름 검색
| rex "user\s(?<username>\w+)\s"
이메일 발신자와 메일 목적지 검색
| rex field=_raw "From: <(?<from>.*)> To: <(?<to>.*)>"
연결
| rex regex
| rex field= regex
| rex field=uri *regex*
[Regex about the text before the desired value][Regex about the desired value][Regex about the text after the desired value]
(?\w+)
| rex "user\s(?<username>\w+)\s"
| rex field=_raw "From: <(?<from>.*)> To: <(?<to>.*)>"
그것이 당신을 도울 수 있기를 바랍니다! 🍺
Reference
이 문제에 관하여(Splunk 로그인에서 정보를 추출하는 방법은 무엇입니까?), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/mxglt/splunk-rex-command-2c02텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)