如果不提取字段,我想搜索任何不包含“country = $”的事件,即事件不得以“country =”结尾。我可以将它改为“country =(?!$)”,但这仍然需要国家出现在活动中,这不是我想要的。
实施例: 我的搜索:
source=*vhost* | regex "country=(?!$)"
事件:
language=en&country=&playerId=29539105
language=en&country=
general error
我想排除中间的一个,同时仍然击中另外两个。我可以在常规正则表达式求值器中执行此操作,但是splunk似乎不会以相同的方式读取正则表达式。
在一个普通的正则表达式解释器中,我已经匹配(#!(country = $))就足够了,但是splunk不理解这一点,并且点击了所有事件。
答案 0 :(得分:1)
找到问题的一个解决方案,如果不是特定于正则表达式:
regex _raw!="country=$"