Sumo Logic - Ersetze Wert mit Regex

Question

Ich analysiere die request_uri von Log-Datei.

_sourceName = "/ opt/zazma/var/logs/AuditRequest.log" | parse "methode = , statusCode =, requestURI = *," als Methode, status_code, request_uri | Zählen nach Methode, request_uri, status_code | Sortieren nach request_uri

Die uri enthält IDs und E-Mail-Adressen. Ich möchte alle vorhandenen IDs durch '{Id}' oder '*' ersetzen, und alle bestehenden E-Mails mit '{email}', aber die REPLACE-Funktion von sumo unterstützt regex nicht.

Es gibt eine andere Möglichkeit, den Wert in URI zu ersetzen?

Answer 1

können Sie die Start- und End-Bits auf jeder Seite des Teils Sie sie zusammen später ersetzt werden soll passen und kommen zurück:

parse regex "(?<start>.*)(?<guid>[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}?)(?<end>.*?)$" nodrop | concat(start, "{id}", end) as result