我尝试通过搜索查找包含多个日志条目上的模式的日志。例如:
time n :Post Request xyz
time n1 :requestCode --> 401
我尝试使用正则表达式
conf_file=xyz | regex "Post\sRequest\sxyz\r\n.*401"
我与另一位编辑者一起检查了正则表达式,并正常工作。但是Splunk从未找到结果。所以我的问题是如何在这两行中搜索该模式?
regex命令与大多数其他SPL命令一样,仅查看当前事件。有多种组合事件的方法,例如与transaction组合,然后对组合的值使用regex。