come posso minimizzare la mia funzione di ricerca Splunk se tutti i nomi host iniziano con le stesse lettere?

ho un certo numero di host (server) e voglio cercare tra tutti tranne che per 4 diversi.

ecco cosa ho lavorato al momento per escludere i 4 server:

(host!="ajl2dal8" OR host!="ajl2dal9" OR host!="ajl2atl8" OR host!="ajl2atl9")

mentre questo funziona bene, il suo abbastanza considerevole e sarà solo ottenere più a lungo se ho bisogno di escludere di più. dal momento che tutti iniziano con ajl2 e hanno atl o dal e un numero, c’è un modo in cui potrei ottenere qualcosa di simile per lavorare:

(host!="ajl2[atl|dal][1|2|3|4]")

EN From: How can I minimize my Splunk search function if all of the host names begin with the same letters?

More similar articles:

1 Comment

  1. il comando di ricerca (che è implicito prima della prima pipe) non supporta espressioni regolari. è possibile utilizzare caratteri jolly, tuttavia, come in (host!="ajl2*"). è possibile utilizzare espressioni regolari dopo la prima pipe con i comandi where o regex.

    ... | where NOT match(host, "ajl2[atl|dal][1|2|3|4]") | ...
    
    ... | regex host!="ajl2[atl|dal][1|2|3|4]" | ...

Leave a Reply

Your email address will not be published. Required fields are marked *