regex - Splunk 查询过滤 IIS 日志中的结果以识别小于 400 的 CRYPT_Protocol 值
问题描述
我试图找到一个正则表达式来帮助过滤来自摄取的 IIS 日志的 splunk 结果,以便当 CRYPT_PROTOCOL 响应小于 400 时显示它。
解决方案
实际上,我们能够弄清楚。我们将日志分解为正则表达式中的字段,然后从那里在 splunk 中创建表——就像这样。
index="msexchange" sourcetype=MSWindows:2016W3SVC1:IIS 最早="02/07/2019:09:00:00" 最新="02/07/2019:09:30:00" | 雷克斯字段=_raw "(?\d{4}-\d{2}-\d{2})\s(?\d{2}:\d{2}:\d{2})\s( ?\S*)\s(?\w+)\s(?\S*)\s(?\S*[;-])\s(?\S*)\s(?\S*)\s (?\S*)\s(?\S*)\s(?[\w.]+)\s(?\S*)\s(?\S*)\s(?\S*)\ s(?\S*)\s(?\S*)\s(?\S*)\s(?\S*)\s(?\S*)" | 其中加密协议<400 | table _time sip csmethod sport csusername cip csuseragent cshost csstatus csubstatus cswin32status scbytes csbytes timetaken originalip cryptoprotocol | 排序 0 -_time
推荐阅读
- apache-spark - 逻辑回归的 PySpark mllib p 值
- java - 使用“+”号获取 API 请求在 Jmeter 中不起作用
- ethereum - 调用 Solidity 合约的 set() 函数(使用 web3js)正在创建一个新的合约地址。为什么?
- firebase - Firebase 实时数据库模拟器 IP 绑定
- php - 为什么我从数组中得到一个不同于我设置的负值?
- android - Android View 不尊重 Bundle 状态,在不考虑 Bundle 信息的情况下重新创建
- python - 如何在我的 GUI 中重复使用 math.sqrt 函数?
- c++ - 为什么程序在仅加入 1 个线程但有 5 个线程时正常工作
- matlab - 计算多个 3D 矩阵的均值和标准差
- angularjs - 从 http 获取 json 服务的角度