我们如何为以下内容编写正则表达式?
CEF:0|Incapsula|SIEMintegration|1|1|Normal|0| fileId=465000430130063349
在这里,我只想提取放置在||之间的fileId之前的0。
在以下正则表达式中,我们有:
- 一个名为";myField";获取一个数字
(?<myField>d) - 介于
|字符之间的,转义为:| - 然后是一个可选空格(您的示例在
|和fileId之间有一个空格(:s? - 然后是文本文件ID:
fileId
将其整合在一起:
|(?<myField>d)|s?fileId
因此,您应该能够在Splunk中应用正则表达式:
| rex field=_raw "|(?<myField>d)|s?fileId"
然后使用CCD_ 11。显然,重命名为任何对您有意义的字段,如果不是_raw,则以适当的字段为目标