我试图抓取GET请求的目录path,并使用此捕获正则expression式在Splunk中对它们进行计数。
index=main sourcetype="access_combined_wcookie" | rex "(?i)\"GET /(?P<MYDIR>\w+)/" | timechart count by MYDIR 这种作品。 它抓取顶级目录的名称并按照预期总结它们,除了它还将HEAD请求显示为“NULL”或“OTHER”。
正则expression式在perl和Python中都能正常工作(也就是说,它在HEAD请求中不匹配)。任何人都有一个想法,我必须做什么才能使Splunk停止报告我没有捕获到的东西? 这种行为实际上是违反直觉的。