如果所有主机名都以相同的字母开头,我该如何最小化我的 Splunk 搜索功能?
How can I minimize my Splunk search function if all of the host names begin with the same letters?
我有很多主机(服务器),我想搜索除 4 个不同主机(服务器)之外的所有主机。
这是我目前正在排除 4 个服务器的工作:
(host!="ajl2dal8" OR host!="ajl2dal9" OR host!="ajl2atl8" OR host!="ajl2atl9")
虽然这很好用,但它相当大,只有在我需要排除更多时才会变长。因为它们都以 ajl2 开头,并且有 atl 或 dal 和一个数字,有什么办法可以让这样的东西工作:
(host!="ajl2[atl|dal][1|2|3|4]")
搜索命令(隐含在第一个管道之前)不支持正则表达式。但是,您可以使用通配符,如 (host!="ajl2*")。您可以使用 where 或 regex 命令在第一个管道之后使用正则表达式。
... | where NOT match(host, "ajl2[atl|dal][1|2|3|4]") | ...
... | regex host!="ajl2[atl|dal][1|2|3|4]" | ...
我有很多主机(服务器),我想搜索除 4 个不同主机(服务器)之外的所有主机。
这是我目前正在排除 4 个服务器的工作:
(host!="ajl2dal8" OR host!="ajl2dal9" OR host!="ajl2atl8" OR host!="ajl2atl9")
虽然这很好用,但它相当大,只有在我需要排除更多时才会变长。因为它们都以 ajl2 开头,并且有 atl 或 dal 和一个数字,有什么办法可以让这样的东西工作:
(host!="ajl2[atl|dal][1|2|3|4]")
搜索命令(隐含在第一个管道之前)不支持正则表达式。但是,您可以使用通配符,如 (host!="ajl2*")。您可以使用 where 或 regex 命令在第一个管道之后使用正则表达式。
... | where NOT match(host, "ajl2[atl|dal][1|2|3|4]") | ...
... | regex host!="ajl2[atl|dal][1|2|3|4]" | ...