regex - Kusto 查询以使用正则表达式从消息日志中获取文件扩展名
问题描述
我正在尝试从 Kusto 消息日志中获取文件扩展名。以下是我的日志的外观:
"Symchk result for D:\pkgshadow\19H1\999907\files.csi\arm64\neutral\fre\Microsoft-OneCore-VirtualizationBasedSecurity-Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum is NOTAPPLICABLE"
我想从上面的日志中得到扩展名“妈妈”。
以下是我尝试过的查询,但它不起作用。
| extend filepath = trim_start("Symchk result for ", trim_end(" is NOTAPPLICABLE", ParsedMsg))
| extend extension = extract(**@"([^\\]*\.\w+\s)"**, 1, filePath)
| project extension
我正在使用上述正则表达式获取文件(即Microsoft-OneCore-VirtualizationBasedSecurity-Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum)作为输出。我想获得文件的扩展名(即mum)。有人可以帮我弄这个吗?
解决方案
这可以解决问题:
print @"Symchk result for D:\pkgshadow\19H1\999907\files.csi\arm64\neutral\fre\Microsoft-OneCore-VirtualizationBasedSecurity-Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum is NOTAPPLICABLE"
| project extract("\\.([a-z]{3}) ", 1, print_0)
输出:
mum
推荐阅读
- sublimetext4 - 如何只为一个文件 ST4 设置自动完成?
- logging - 日志基础 2 序言
- c++20 - PPL 并发和 co_await 导致 lambda 捕获变量在挂起时超出范围
- ruby - Capybara - have_css 在不应该匹配空字符串时匹配
- reactjs - 如何从 Amplify-React 调用现有的 Lambda 函数?
- php - 如何使用 Inertia JS 在 Laravel 中默认编辑或删除身份验证的 URL?
- firebase - 上传符号成功后 Firebase 缺少 dSYM
- excel - 对命名范围之外的单元格进行更改时出现 VBA Excel 运行时错误“1004”
- jquery - 当有人滚动到 ID 时开始编号计数器 JQuery 动画
- terraform - Terraform init 报告无法通过 Github Actions 查询提供程序包