如何解决我不知道如何在splunk中查询提取未知发件人
index=payload sourcetype="stream:smtp"
| rex field=sender_mail "\@<?host>.*"
[ search index=payload sourcetype="stream:dns" NOT host ]
中有SMTP和DNS通信。我想根据DNS流量在SMPT中提取任何未知发件人的电子邮件。
因此,我正在尝试获取不属于DNS主机的发件人电子邮件,但我不知道该怎么做。
const someRows = _.times(numRows,(i) => {
if (i % 10000 === 0) {
console.log(i,process.memoryUsage().heapUsed / 1024 / 1024);
}
return {
col1: "testa",col2: "testa"
}
});
解决方法
关于rex提取,问号(?)必须位于捕获组之外。 在此处查看一些示例,不确定我想象中的捕获组是否确实与您的输入匹配 https://docs.splunk.com/Documentation/Splunk/8.0.6/SearchReference/Rex
还请注意, host 字段是一个特殊的字段,它用于处理许多杂音事件,因此您可能不想过载。第一次提取时,提取一个名为host的字段可能会与您在 stream:smtp 源类型中找到的现有host字段冲突。我建议完全使用其他名称
index=payload sourcetype="stream:smtp" OR sourcetype="stream:dns"
| eval hosti=host
| rex field=sender_mail "\@(?<hosti>.*?)\s"
| chart count over hosti by sourcetype
| where 'stream:dns'=0
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。