0

我需要提取命令,无论我们在下一行 CMD 后面的 ( ) 中看到什么。

Oct 29 08:00:01 data2 crond[14368]: (root) CMD (sh -xv /home//ste-telnet.sh > /home/hari/logs/ste-telnet$(date +'%Y_%m_%d_%h_%m').succ 2> /home/hari/logs/ste-telnet$(date +'%Y_%m_%d_%h_%m').err)

我需要为此使用正则表达式,因为 splunk 只理解这一点。

4

2 回答 2

1

尝试这个

CMD (.*)$

如果该行的最后一件事是命令,这将起作用(包含 CMD 的列是最后一列)

于 2011-10-29T07:12:00.733 回答
0

这有点棘手。问题是你在那里有嵌套的括号。所以如果你使用

CMD \((.*)\)

在你的情况下你会得到一个正确的结果(实际的命令将在匹配的组号 1 中),但是一旦你有多个命令(或CMD在你的字符串。

于 2011-10-29T07:12:08.350 回答