1
沒有提取字段,我想搜索任何不包含「country = $」的事件,即事件不能以「country =」結尾。我可以把它換成「國家=(?!$)」,但這仍然需要國家出席這個活動,這不是我想要的。splunk中的負面正則表達式(不使用字段)
例子: 我的搜索:
source=*vhost* | regex "country=(?!$)"
事件:
language=en&country=&playerId=29539105
language=en&country=
general error
我要排除的中間的一個,同時還打了另外兩個。我可以在普通的正則表達式評估器中完成,但是splunk似乎沒有以同樣的方式讀取正則表達式。
在一個普通的正則表達式解釋器中,我已經匹配到(?!(country = $))就足夠了,但是splunk並不理解這一點,並且擊中所有事件。