Besoin de tester l’extraction de champ après avoir interrogé un annuaire LDAP ou une base de données. Plutôt que de lancer une requête LDAP à chaque test d’expression régulière, utiliser la fonction makeresults
Pour utiliser cette fonction, il faut tout d’abord obtenir le contenu du champ ou la ligne (_raw) de log que l’on veut tester. Je vais prendre l’exemple d’extraction depuis une URL du nom du serveur et du domaine:
|makeresults count=1 # fonction qui permet de générer un resultat (count)
|eval url="https://test.ma.société.fr" #le champ qque je veux tester
|rex field=url ".(?[^\.\s]+\.[^\.\s]+)$" # rex pour obtenir le domain
|rex field=url "http(s)*\:\/\/(?([^\/]+)).*" # rex pour obtenir le serveur
Si j’avais voulu faire ensuite des calculs, j’avais juste à augmenter le nombre d’occurrences grâce au paramètre count=n associé à makeresults.
D’autre utilisation de makeresults commenter/partager
SaPeLeFR
Votre commentaire