Splunk-запрос для фильтрации результатов в журнале IIS для определения значений CRYPT_Protocol менее 400

Question

Splunk-запрос для фильтрации результатов в журнале IIS для определения значений CRYPT_Protocol менее 400

Я пытаюсь найти выражение регулярного выражения, чтобы помочь отфильтровать нежелательные результаты из загруженных журналов IIS, чтобы при отображении ответа CRYPT_PROTOCOL меньше 400.

-1

regex iis-8 splunk-query

Источник

user11024866 06 фев '19 в 19:18

1 ответ

Другие вопросы по тегам regex iis-8 splunk-query

user11024866 07 фев '19 в 19:38 2019-02-07 19:38 · Answer 1 · 2019-02-07 19:38

На самом деле мы смогли понять это. Мы разбили журнал на поля в регулярном выражении, а затем создали таблицы в Splunk - вроде так.

index = "msexchange" sourcetype = MSWindows: 2016W3SVC1: IIS самое раннее ="02/07/2019:09:00:00" самое последнее ="02/07/2019:09:30:00" | поле rex =_raw "(?\d{4}-\d{2}-\d{2})\s(?\d{2}:\d{2}:\d{2})\s(?\S*)\ S (\ W +)\ S (\ S *) \ S (\ S *?? [;-])\ S (\ S *) \ S (\ S *) \ ы? (? \ S *) \ S (? \ S *) \ S (?[\ ш.]+)\ S (? \ S *) \ S (? \ S *) \ S (?\S*)\s(?\S*)\s(?\S*)\s(?\S*)\s(?\S*)\s(?\S*)" | где криптопротокол<400 | таблица _time sip csmethod sport csusername cip csuseragent cshost csstatus cssubstatus cswin32status scbytes csbytes полученное время originalip криптопротокол | сортировать 0