Splunk正则表达式字段

时间:2019-03-30 03:21:22

标签: regex splunk-query

我正在尝试对关联ID进行正则表达式,该ID将在每个交易中具有不同的唯一编号。 我正在使用下面的查询,但未获取正确的值(相关ID),

Splunk查询: timeformat =“%d /%m /%Y%H:%M:%S”最早=“ =” 28/03/2019 15:38:08“ Latest =” 28/03/2019 18:08:08“主机= “ splunk-max-tk.global.com.local:9090”“ correlationid_test1234”“请求流lambda开始”或“响应流lambda结束” | rex field = _raw“ 2019 *(?。*?)” | isnotnull(correlationId)在哪里|交易相关ID startsWith =“请求流lambda结束” endsWith =“响应流lambda结束” | dedup relatedId

Splunk日志: 28/03/2019 18:08:03.748
2019-03-28T18:08:03.748402 + 11:00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init .py 187]请求流lambda开始

2019-03-28T18:08:05.129540 + 11:00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init .py 187]响应流lambda结束

0 个答案:

没有答案