我正在尝试从Kusto消息日志中获取文件扩展名。下面是我的日志:
"Symchk result for D:pkgshadow19H1999907files.csiarm64neutralfreMicrosoft-OneCore-VirtualizationBasedSecurity-Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum is NOTAPPLICABLE"
我想得到延期">mum";从上面的日志。
以下是我尝试过的查询,但它不起作用。
| extend filepath = trim_start("Symchk result for ", trim_end(" is NOTAPPLICABLE", ParsedMsg))
| extend extension = extract(**@"([^\]*.w+s)"**, 1, filePath)
| project extension
我正在使用上述正则表达式获取文件(即Microsoft OneCore VirtualizationBasedSecurity Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum(作为输出。我想获得文件的扩展名(即mum(。有人能帮我吗?
这将完成任务:
print @"Symchk result for D:pkgshadow19H1999907files.csiarm64neutralfreMicrosoft-OneCore-VirtualizationBasedSecurity-Package~31bf3856ad364e35~amd64~~10.0.21380.1020.mum is NOTAPPLICABLE"
| project extract("\.([a-z]{3}) ", 1, print_0)
输出:
mum
您可以使用extract来使用捕获组。
[^\]*.(w+)s
模式匹配:
[^\]*可选地匹配除之外的任何字符.匹配点(w+)捕获组1中的1个以上单词字符s匹配空白字符
Regex演示