問題タブ [splunk-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
duplicates - Splunk Dedup by _time と 1 つのフィールドの値を 1 つのイベントに結合
Exchange 2010 データを扱っています。MessageID、Sender、Recipients、および _time があります。イベントの種類によっては、受信者を分割できます (つまり、特定のメッセージのすべての受信者はイベントに含まれず、複数のイベントに分割されます)。データの例を次に示します。
このクエリを使用して、MessageID と Sender によって、複数の受信者の値を 1 つのイベントに結合します。
これにより、次の結果が得られます。
特定の MessageID の各イベントが異なる時間に発生するためvalues、ステートメントに _time が含まれていると機能しないため、 _time は取り込まれません。byしたがって、どういうわけかdedupMessageID (最新の _time を取得するため) と受信者の値を同時に詰め込む必要があります。
私はこれを試みました:
しかし、これも機能せず、recip が入力されません。
私の望ましい出力は次のようになります。
どうすればそれを達成できますか?
regex - 文字列の末尾から N 番目のフィールドを取得する
splunk で文字列の末尾から n 番目のフィールドを取得する正規表現を作成したいと考えています。続行する方法を教えてください。