Filter für reguläre Ausdrücke

Filtern Sie Ihre Suchergebnisse, indem Sie reguläre Ausdrücke (Regex) in bestimmte Suchfelder im gesamten ExtraHop-System schreiben. Sie können beispielsweise nach Parametern in einem Detail-Metrik Metrikschlüssel filtern, z. B. nach einer Zahl innerhalb einer IP-Adresse. Sie können auch filtern, indem Sie bestimmte Schlüssel oder eine Kombination von Schlüsseln aus Diagrammen ausschließen.

Regex-fähige Suchfelder verfügen im gesamten System über visuelle Indikatoren und akzeptieren die Standardsyntax.
Suchfelder mit einem Sternchen
Klicken Sie auf das Sternchen, um Regex-Strings zu aktivieren.

Dieser Feldtyp ist auf den folgenden Systemseiten verfügbar:
  • Eine Tabelle mit Geräten filtern
  • Filterkriterien für eine dynamische Gerätegruppe erstellen
Bestimmte Suchfelder mit einem Dreifeld-Operator
Klicken Sie auf das Operator-Dropdown-Menü, um die Regex-Option auszuwählen.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Bearbeiten eines Diagramms im Metric Explorer
Bestimmte Suchfelder mit einem Tooltip
Bewegen Sie den Mauszeiger über den Tooltip im Feld, um zu sehen, wann Regex erforderlich ist.

Dieser Feldtyp ist auf der folgenden Systemseite verfügbar:
  • Hinzufügen von Datensatzbeziehungen zu einer benutzerdefinierten Metrik

Die folgende Tabelle enthält Beispiele für die Standard-Regex-Syntax.

Chart-Szenario Regex-Filter So funktionierts
HTTP-Statuscodes vergleichen 200 zu 404. (200|404) Das vertikale Balkensymbol (|) ist der OR-Operator. Dieser Filter passt 200, oder 404, oder beide Statuscodes.
Zeigt einen beliebigen HTTP-Statuscode an, der eine enthält 4. [41] Eckige Klammern ([und]) kennzeichnen einen Zeichenbereich. Der Filter sucht nach jedem Zeichen innerhalb der Klammern, unabhängig von der Reihenfolge. Dieser Filter entspricht jedem Wert, der eine enthält 4 oder ein 1. Dieser Filter kann beispielsweise zurückgeben 204, 400, 101, oder 201 Statuscodes.
Alle anzeigen 500HTTP-Statuscodes auf -Ebene. ^ [5] Das Caret-Zeichen (^) außerhalb der eckigen Klammern ([und]) bedeutet „beginnt mit". Dieser Filter entspricht jedem Wert, der mit a beginnt 5. Dieser Filter kann beispielsweise zurückgeben 500 und 502 Statuscodes.
Alle anzeigen 400 und 500 HTTP-Statuscodes auf -Ebene. ^ [45] Mehrere Werte in eckigen Klammern ([und]) werden einzeln gesucht, auch wenn ihnen das Caret-Symbol (^) vorangestellt ist. Dieser Filter sucht nicht nach Werten, die beginnen mit 45, entspricht aber allen Werten, die mit a beginnen 4 oder 5. Dieser Filter kann beispielsweise zurückgeben 400, 403, und 500 Statuscodes.
Zeigt alle HTTP-Statuscodes an, außer 200 Statuscodes auf -Ebene. ^ (?! 2) Ein Fragezeichen (? ) und Ausrufezeichen (! ) in Klammern geben einen auszuschließenden Wert an. Dieser Filter entspricht allen Werten außer Werten, die mit a beginnen 2. Dieser Filter kann beispielsweise zurückgeben 400, 500, und 302 Statuscodes.
Zeigen Sie eine beliebige IP-Adresse mit einem 187. 187. Spiele 1, 8, und 7 Zeichen in der IP-Adresse. Dieser Filter gibt keine IP-Adressen zurück, die auf 187 enden, da der letzte Zeitraum angibt, dass hinter den Werten etwas stehen muss. Wenn Sie den Punkt als Literalwert durchsuchen möchten, müssen Sie ihm einen umgekehrten Schrägstrich ( \) voranstellen.
Überprüfen Sie alle IP-Adressen, die 187.18. 187\ ,18. Spiele 187.18 und alles, was folgt. Der erste Punkt wird wörtlich behandelt, da ihm ein umgekehrter Schrägstrich (\) vorangestellt ist. Die zweite Periode wird als Platzhalter behandelt. Dieser Filter gibt beispielsweise Ergebnisse für 187.18.0.0, 180.187.0.0, oder 187.180.0.0/16. Dieser Filter gibt keine Adresse zurück, die endet mit 187.18, weil der Platzhalter erfordert, dass Zeichen den angegebenen Werten folgen.
Zeigen Sie eine beliebige IP-Adresse an, außer 187.18.197.150. ^ (?! 187\ .18\ .197\ .150) Passt zu allem außer 187.18.197.150, wo ^(?!) gibt den auszuschließenden Wert an.
Schließt eine Liste bestimmter IP-Adressen aus. ^(?!187\.18\.197\.15[012]) Passt zu allem außer 187.18.197.150, 187.18.197.151, und 187.18.197.152, wo ^(?!) gibt den auszuschließenden Wert an und die eckigen Klammern ([und]) geben mehrere Werte an.

Zusätzliche Filter

Wenn du eine benutzerdefinierte Detail-Metrik erstellen im Metrikkatalog können Sie dem Suchfeld Zusätzliche Filter im Bereich Datensatzbeziehungen erweiterte Regex-Syntax hinzufügen.

Der Tooltip wird angezeigt, nachdem Sie ausgewählt haben Detail: Metrik und ist nicht verfügbar, wenn Basismetrik ist ausgewählt.

Die Regex-Syntax in diesem Feld muss die folgenden Anforderungen erfüllen:
  • Wenn Ihr Schlüssel mehrere Werte enthält, muss Ihre Regex-Syntax eine einzelne Capture-Gruppe enthalten. Eine Capture-Gruppe wird durch Klammern gekennzeichnet. Ihre Erfassungsgruppe bestimmt den Filterwert.

  • Wenn Sie einen bestimmten Wert aus einem Detail-Metrik Metrikschlüssel zurückgeben möchten, der mehrere Datensatzfeldwerte enthält, muss die Regex der folgenden Syntax folgen:

    $SCHLÜSSEL:/ <regex> /

    Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet und Sie nur den IP-Adresswert zurückgeben möchten, würden Sie Folgendes eingeben:

    $SCHLÜSSEL: /^ ([^:] +): . +/

  • Wenn Ihr Schlüssel mehrere Datensatzfeldwerte enthält, werden die Werte durch ein Trennzeichen getrennt, das in dem Auslöser angegeben ist, der den Schlüssel generiert. Die Platzierung der Trennzeichen in Ihrer Regex-Syntax muss mit den Trennzeichen im Detailschlüssel übereinstimmen. Wenn Sie beispielsweise einen Schlüssel mit drei Werten haben, die durch ein Trennzeichen getrennt sind, das ein Doppelpunkt ist, müssen die drei Werte für den Schlüssel in Ihrer Regex-Syntax durch zwei Doppelpunkte getrennt werden.
Hinweis:Wenn Sie alle Datensatzfeldwerte in einem detaillierten Metrikschlüssel zurückgeben möchten, geben Sie ein $-SCHLÜSSEL. Wenn Ihr Detail-Metrik Metrikschlüssel beispielsweise ipaddr:host:cipher lautet, geben Sie ein $-SCHLÜSSEL im Suchfeld , um alle drei dieser Felddatensatzwerte (IP-Adresse, Hostname und SSL-Verschlüsselungssuite) zurückzugeben.
Last modified 2024-02-16