3

我正在request_uri从日志文件中解析:

_sourceName="/opt/zazma/var/logs/AuditRequest.log"
| parse "method=*, statusCode=*, requestURI=*," as method, status_code, request_uri
| count by method, request_uri, status_code
| sort by request_uri

URI 包括 ID 和电子邮件地址。我想用'{Id}'or替换所有现有的 ID '*',并用 替换所有现有的电子邮件'{email}',但 Sumo 的REPLACE功能不支持正则表达式。

有没有其他方法可以替换valueURI 中的 ?

4

1 回答 1

2

您可以匹配要替换的零件的每一侧的开始位和结束位,然后将它们重新连接在一起:

parse regex "(?<start>.*)(?<guid>[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}?)(?<end>.*?)$" nodrop | concat(start, "{id}", end) as result
于 2017-07-26T03:14:29.323 回答