0

次の行のCMDという単語の後に()で表示されているコマンドを抽出する必要があります。

Oct 29 08:00:01 data2 crond[14368]: (root) CMD (sh -xv /home//ste-telnet.sh > /home/hari/logs/ste-telnet$(date +'%Y_%m_%d_%h_%m').succ 2> /home/hari/logs/ste-telnet$(date +'%Y_%m_%d_%h_%m').err)

splunkはそれしか理解できないので、これには正規表現を使用する必要があります。

4

2 に答える 2

1

これを試して

CMD (.*)$

これは、行の最後がコマンドである場合に機能します(CMDを含む列が最後の列です)

于 2011-10-29T07:12:00.733 に答える
0

これは少し注意が必要です。問題は、そこにネストされた括弧があることです。だからあなたが使うなら

CMD \((.*)\)

あなたの場合は正しい結果が得られますが(実際のコマンドは試合のグループ番号1になります)、複数のコマンド(または後に複数の最も外側の括弧のセット)があるとすぐに失敗しCMDますあなたの文字列。

于 2011-10-29T07:12:08.350 に答える