我是Splunk的新手,我正在尝试使用源类型及其正则表达式设置...让我将以下事件放入HEC:
curl -k https://utu:8088/services/collector/event/1.0 -H "Authorization: Splunk 21755979-ed43-4a1a-8962-e6e45ccf3ccf" -d '{"event": "splunk splunk splunk dog", "sourcetype": "hec_st"}'
curl -k https://utu:8088/services/collector/event/1.0 -H "Authorization: Splunk 21755979-ed43-4a1a-8962-e6e45ccf3ccf" -d '{"event": "splunk splunk splunk cat", "sourcetype": "hec_st"}'
hec_st是带有正则表达式的源类型:
(splunk)\ s +
with SHOULD_LINEMERGE = false
[为什么提到的设置不会将字符串“ splunk splunk splunk cat”分解为多个事件
splunk散弹散弹猫
我总是可以将此字符串作为一个事件来查找。在此先感谢
T。
首先,您需要的正确正则表达式是
([\s]+)
以下是为Define event boundaries for incoming data
的源类型创建正则表达式时要遵循的准则。
输入数据:
我叫SV。
输出数据: