使用正则表达式提取方括号中的字符串

Question

我在 splunk 中的日志如下：

[ A=xaxxxxx ] [ B=weea case ] [ C=another example 0 ]

如何在“=”之后只获取方括号中的字符串

像这样：xaxxxxx； weea case ; another example 0

我的雷克斯是：rex field=_raw "(?<New_Field>\[\sC=(.*?)\s\])"

它提取所有内容，包括方括号 [...]。

Answer 1

在 Splunk 中，只能使用命名的捕获组将数据提取到字段中。因此，正则表达式中编号的捕获组对 Splunk 没有任何意义。您需要在需要提取的图案部分周围使用New_Field 组。

另外，你只匹配C，你可以匹配任何大写字母[A-Z]，或者如果有多个，[A-Z]+。

你可以使用

\[\s*[A-Z]+=\s*(?<New_Field>.*?)\s*]

请参阅regex demo。 详情：

• \[ - 一个 [ 字符
• \s* - 零个或多个空格
• [A-Z]+ - 零个或多个大写 ASCII 字母
• = - 一个 = 字符
• \s* - 零个或多个空格
• (?<New_Field>.*?) - 组“New_Field”：尽可能少的除换行符以外的任何零个或多个字符
• \s* - 零个或多个空格
• ] - ] 字符。

Answer 2

您可以将不想捕获的内容移到组外：

\[\sC=(?<New_Field>[^\][]*)\s]

模式匹配：

• \[\sC= 匹配 [ 空白字符和 =
• (?<New_Field> 命名组New_Field
• [^\][]* 要留在方括号之间，可以使用否定字符类
• )关闭群
• \s\] 匹配一个空白字符和]

查看regex demo。

要匹配 A、B 或 C，您可以使用字符类：

\[\s[A-Z]=(?<New_Field>[^\][]*)\s]

查看另一个regex demo。

Answer 3

这是一种更简单的方法——它会在给定事件中将all the matches 返回到多值字段中：

index=ndx sourcetype=srctp
| rex field=_raw max_match=0 "\[[^\[=]+\=(?<new_field>[^\]]+)"

从跳过左括号开始，直到等号

那么等号后到右括号的所有内容都会被匹配