文件路径搜索的深度超出了预期。我需要的只是/ aaa,但我的搜索是填充/ aaa / bbbb / ccc / ddd /的所有值。有没有办法删除/ aaa /之后的所有内容?
my search: index=web_pn_iis sourcetype=iis cs_uri_stem="*" sc_status=4* | where not cs_uri_stem="/*"
returned values:/aaa/bbbb/ccc/ddd/
want: /aaa
答案 0 :(得分:0)
rex命令可以做到这一点。
index=web_pn_iis sourcetype=iis cs_uri_stem="*" sc_status=4*
| where not cs_uri_stem="/*"
| rex field=cs_uri_stem "(?<want>\/\w+)"