如何将关键字与值进行匹配，然后将该值相应地分配给Splunk中的变量？

Question

我有一个案例，需要同时监视主传感器和备用传感器。但在此之前，我需要弄清楚主传感器和备用传感器。

我有这样的东西：

**sensor**

sensor1

sensor1_backup

sensor2

sensor2_backup

sensor3

sensor3_backup

我想检查传感器，看看它是否是备用传感器，然后需要知道它是谁的备用传感器。

我尝试了这样的东西：

... | eval backup_sensor=if(match(sensor,*backup*,1,0),sensor) 

但是，如果匹配为真，我可以将传感器指定为备用。而是如何在失败时将传感器分配给新的字段"primary_sensor“。

另外，我如何才能确定它是谁的备份。

例如，我找到一个备用传感器"sensor2_backup"，我是否应该再次使用match语句来查看它是否是sensor2的备用传感器？

Answer 1

match函数可以工作，但正如您所提到的，您可能需要其中的两个函数。此外，match使用正则表达式而不是模式。

一种更好的方法是rex。它也使用正则表达式，但可以很容易地提取多个字段。试试这个：

... | rex field=sensor "(?<primary_sensor>[^_]+)_(?<backup_sensor>backup>.*)"