Splunk 错误指定至少一个命名组
Posted
技术标签:
【中文标题】Splunk 错误指定至少一个命名组【英文标题】:Splunk error specify atleast one named group 【发布时间】:2020-03-20 14:21:59 【问题描述】:我正在执行下面的 splunk 查询。
index=api sourcetype=api-warn environ::api-prod*
| bin _time span=1h
| rex mode=sed field=service_name "s#\..*$##" | rex field=requestPath "https://api.com.org.net/(abc)/(def)"
| stats count(service_name) by _time,service_name
出现以下错误: “rex”命令中的错误:正则表达式“https://api.com.org.net/(abc)/(def)”没有提取任何内容。它应该至少指定一个命名组。格式:(?...)。
假设,其中一个url是:
https://api.com.org.net/abc/def/some_number/?key=value&key=value
我的正则表达式:
https:\/\/(<api\.com\.org\.net\/abc\/def>*)
我的正则表达式与 url 不匹配,谁能帮忙。
不知道这里有什么问题。我正在使用正则表达式来匹配 url' 中的部分 url abc/def。不知道出了什么问题。有人能指引我正确的方向吗?
【问题讨论】:
【参考方案1】:rex 命令需要至少一个(?<fieldname>...) 形式的捕获组,其中“fieldname”是 Splunk 字段名称,“...”是正则表达式。如果您只想过滤数据而不是提取字段,请改用regex 命令。
【讨论】:
以上是关于Splunk 错误指定至少一个命名组的主要内容,如果未能解决你的问题,请参考以下文章
得到错误为“ Regex:子模式名称中的语法错误(缺少终止符)。”在SPLUNK中
to_datetime 值错误:至少必须指定 [年、月、日] Pandas