2

我们如何为下面编写正则表达式?

CEF:0|Incapsula|SIEMintegration|1|1|Normal|0| fileId=465000430130063349

在这里,我只想提取0放在||之前fileId的 .

4

1 回答 1

2

在以下正则表达式中,我们有:

  • 一个名为“myField”的命名捕获组,它抓取一个数字(?<myField>\d)
  • |字符之间,转义为:\|
  • 后跟一个可选空格(您的示例在|and之间有一个空格fileId):\s?
  • 然后是文本文件 ID:fileId

把它们放在一起:

\|(?<myField>\d)\|\s?fileId

因此,您应该能够在 Splunk 中应用正则表达式:

| rex field=_raw "\|(?<myField>\d)\|\s?fileId"

然后使用myField. 显然,重命名为对您有意义的名称,如果不是,则针对适当的字段_raw

于 2021-06-09T15:04:09.867 回答