Splunk проп Config вопрос

Question

В настоящее время я пишу проп Конфигурировать, чтобы проверить мое событие

События

Feb 03 13:22:23 Jessica-Ubuntu kernel: [ 7098.424722] usb 1-1: Manufacturer: SanDisk Feb 3 13:22:23 Jessica-Ubuntu kernel: [ 7098.424725] usb 1-1: SerialNumber: 200522427013E6812147 Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710593] usb 2-2.1: Product: Virtual Bluetooth Adapter Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710597] usb 2-2.1: SerialNumber: 000650268328 

Настройки Prop.Config

[source::linuxusb] 
SHOULD_LINEMERGE = true 
BREAK_ONLY_BEFORE = Jan|Feb|Mar|Apr|May|Jun|Jul|Aug|Sep|Oct|Nov|Dec 
EXTRACT-date = (?i) .*? (?P<date>\w+\s+\d+\s+\d+:\d+:\d+)\s+\w+ 
EXTRACT-description = (?i) Product: (?P<description>.+?)\s+\w+\s+\d+ 
EXTRACT-device_mfg = (?i) Manufacturer: (?P<device_mfg>[^ ]+) 
EXTRACT-serial_number = (?i) SerialNumber: (?P<serial_number>.+) 

Результат для SerialNumber

200522427013E6812147 Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710593] usb 2-2.1: Product: Virtual Bluetooth Adapter Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710597] usb 2-2.1: SerialNumber: 000650268328` 

I только w 200522427013E6812147. Как я могу захватить только эти данные. Пожалуйста, помогите

Answer 1

Если предположить, что события, предусмотренные 4 отдельные события (смотря на временные метки):

Feb 03 13:22:23 Jessica-Ubuntu kernel: [ 7098.424722] usb 1-1: Manufacturer: SanDisk 
Feb 3 13:22:23 Jessica-Ubuntu kernel: [ 7098.424725] usb 1-1: SerialNumber: 200522427013E6812147 
Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710593] usb 2-2.1: Product: Virtual Bluetooth Adapter 
Feb 4 22:11:46 Jessica-Ubuntu kernel: [ 2.710597] usb 2-2.1: SerialNumber: 000650268328 

Редактировать EXTRACT-serial_number, изменить его на:

EXTRACT-serial_number = (?i) SerialNumber: (?P<serial_number>[^ ]+)

Кроме того, если Splunk не узнайте выше 4 событий (на основе временной метки) в виде 4 отдельных событий, попробуйте изменить SHOULD_LINEMENRGE на false.