不包括某些源文件
Do not include certain source files
我有一个包含所有日志文件的文件夹,文件名是红色、绿色、蓝色、黄色等。我正在编写 spl 以包含除一个文件以外的所有文件,例如颜色-白色。
我知道 * 执行通配符搜索,[^c] 排除括号中的特定字符。但是我不知道如何将它们组合起来以排除某个单词。另一方面,我不确定同样的正则表达式规则是否适用于 splunk。
source= "log/colour-*"
source= "log/colour-[^w]"
查询的期望结果是检索所有文件,预计颜色为白色。
也许可以应用一些过滤器来检索所需的结果,但到目前为止,我所知道的过滤器是针对文件内容,而不是文件名。
search 命令(第一个 | 之前的隐式命令)不支持正则表达式。要排除某些内容,请使用 NOT.
(source = "log/colour-*" NOT source = "log/colour-w*")
您也可以在搜索查询中使用类似的内容,
source!="log/colour-white"
您还可以在下方 link 查看 != 和 NOT 之间的区别,以获得更清楚的使用信息。
我有一个包含所有日志文件的文件夹,文件名是红色、绿色、蓝色、黄色等。我正在编写 spl 以包含除一个文件以外的所有文件,例如颜色-白色。
我知道 * 执行通配符搜索,[^c] 排除括号中的特定字符。但是我不知道如何将它们组合起来以排除某个单词。另一方面,我不确定同样的正则表达式规则是否适用于 splunk。
source= "log/colour-*"
source= "log/colour-[^w]"
查询的期望结果是检索所有文件,预计颜色为白色。
也许可以应用一些过滤器来检索所需的结果,但到目前为止,我所知道的过滤器是针对文件内容,而不是文件名。
search 命令(第一个 | 之前的隐式命令)不支持正则表达式。要排除某些内容,请使用 NOT.
(source = "log/colour-*" NOT source = "log/colour-w*")
您也可以在搜索查询中使用类似的内容,
source!="log/colour-white"
您还可以在下方 link 查看 != 和 NOT 之间的区别,以获得更清楚的使用信息。