Regex找不到所有故障的存在
状态:“失败: DNS解析失败: Rcode域(3)”,“CheckedTime”:datetime.datetime(2017年,2,1,14,47,38,382000,tzinfo=tzlocal())},{“区域”:'us-east-1','IPAddress':'01.000.2.12','StatusReport':{‘StatusReport’:{'Status':‘成功: DNS解析成功: Rcode域(3)’,'CheckedTime':datetime.datetime(2017年,2,1,14,47,35,371000 ),Tzinfo=tzlocal()}},{'Region':'us-west-1','IPAddress':'01.000.14.10','StatusReport':{'Status':'Failure: DNS解析失败: Rcode Domain(3)','CheckedTime':datetime.datetime(2017年,2,1,14,47,34,715000,tzinfo=tzlocal()}},{'Region':'us-west-2','IPAddress':'01.000.22.10',“StatusReport”:{“状态”:“失败: DNS解析失败: Rcode域(3)”,“CheckedTime”:datetime.datetime(2017,2,1,14,47,42,801000,tzinfo=tzlocal())}},{'Region':'us-west-2','IPAddress':'01.000.18.10','StatusReport':{ 'StatusReport':‘失败: DNS解析失败: Rcode域(3)’,'CheckedTime':datetime.datetime(2017,2,1,14,47,25,189000,tzinfo=tzlocal()},{'Region':'us-east-1',‘47地址’:'01.000.1.10','StatusReport':{‘状态’:‘失败: DNS解析失败: Rcode域(3)’,'CheckedTime':datetime.datetime(2017年,2,1,14,47,42,293000,tzinfo=tzlocal()}})}}
问题
我需要在字符串和相关消息中找到任何失败,它不应该在消息中寻找任何成功。
状态:‘失败: DNS解析失败: Rcode域(3)’,'CheckedTime':datetime.datetime(2017年,2,1,14,47,38,382000,tzinfo=tzlocal()}},{'Region':'us-east-1','IPAddress':'01.000.2.12',‘状态’:‘失败: DNS解析失败: Rcode域(3)’,'CheckedTime':datetime.datetime(2017年,2,1,14,47,34,715000,Tzinfo=tzlocal()}},{'Region':'us-west-2','IPAddress':'01.000.22.10‘等。
我尝试了什么:
Status':.+Failure.*(?=Success)和
'Status':.+但这并没有给我我想要的。
救命啊!!
回答 1
Stack Overflow用户
发布于 2020-02-11 05:11:27
一个主要问题是数据也是相似的,但并不完全是JSON。Splunk将很好地处理JSON,无论是在索引时,还是使用诸如spath之类的命令。
考虑到您的示例数据不是JSON,我们需要回到正则表达式。
这是一个非常基本的正则表达式,它提取从初始{到与数据匹配的双}}的所有内容。(?m)和max_match=0告诉斯普伦克要尽可能多地匹配。
| rex max_match=0 field=raw "(?m)(?<r>{.*}})"现在Splunk已经匹配了事件中的每个条目,我们可以将它们拆分为不同的事件,并删除完整的事件。
| mvexpand r | fields - raw接下来,对每个条目执行rex操作,只提取status_msg
| rex field=r "'Status': '(?<status_msg>[^']+)'"最后,删除status_msg包含Success的事件/行
| where NOT status_msg LIKE "%Success%"下面是处理数据的正则表达式的一个示例。
| makeresults | eval raw="{[{'Region': 'us-east-1', 'IPAddress': '01.000.2.12', 'StatusReport': {'Status': 'Success: DNS resolution Success: Rcode Domain(3)', 'CheckedTime': datetime.datetime(2017, 2, 1, 14, 47, 35, 371000, tzinfo=tzlocal())}},
{'Region': 'us-west-1', 'IPAddress': '01.000.14.10', 'StatusReport': {'Status': 'Failure: DNS resolution failed: Rcode Domain(3)', 'CheckedTime': datetime.datetime(2017, 2, 1, 14, 47, 34, 715000, tzinfo=tzlocal())}},
{'Region': 'us-west-2', 'IPAddress': '01.000.22.10', 'StatusReport': {'Status': 'Failure: DNS resolution failed: Rcode Domain(3)', 'CheckedTime': datetime.datetime(2017, 2, 1, 14, 47, 42, 801000, tzinfo=tzlocal())}},
{'Region': 'us-west-2', 'IPAddress': '01.000.18.10', 'StatusReport': {'Status': 'Failure: DNS resolution failed: Rcode Domain(3)', 'CheckedTime': datetime.datetime(2017, 2, 1, 14, 47, 25, 189000, tzinfo=tzlocal())}},
{'Region': 'us-east-1', 'IPAddress': '01.000.1.10', 'StatusReport': {'Status': 'Failure: DNS resolution failed: Rcode Domain(3)', 'CheckedTime': datetime.datetime(2017, 2, 1, 14, 47, 42, 293000, tzinfo=tzlocal())}}]}"
| rex max_match=9999 field=raw "(?m)(?<r>{.*}})"
| mvexpand r | fields - raw
| rex field=r "'Status': '(?<status_msg>[^']+)'"
| where NOT status_msg LIKE "%Success%"https://stackoverflow.com/questions/60098764
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号