我正在编写代码以在搜索中简单匹配正则表达式,以匹配与app1_ ,app2 _ 等匹配的索引字段
但是我下面的搜索有效
| eventcount summarize=false index=app1_*| dedup index
但是当我像下面这样使用它时,由于我想在正则表达式中使用“或”,因此需要使用正则表达式来完成它:
| eventcount summarize=false |regex index="app1_*"| dedup index
答案 0 :(得分:1)
regex命令要求使用正则表达式来匹配指定的字段值。它与eventcount命令中用于匹配的模式不同。您的示例中的内容是有效的正则表达式,但需要字母“ app1”,后跟零个或多个下划线实例。您可能需要“ app1 _。”,它的正则表达式等效于第一个代码示例中的模式“ app1 _ ”。