Sysmon DBlog Verständnissfrage

[Markus.]

Hallo Zusammen,

da ich ja nun Step by Step auf DBlog und die entsprechenden Plots umsteige, ist mir bei den SYSmon-Daten im DBlog folgendes aufgefallen. Und zwar für den Datensatz fs_root in derDatenbank der wie folgt aussieht.

Code Auswählen Erweitern



2016-05-24 18:50:42|sysmon|SYSMON|fs_root: Total: 29077 MB, Used: 3577 MB, 13 %, Available: 24265 MB at /|fs_root|Total: 29077 MB, Used: 3577 MB, 13 %, Available: 24265 MB at /|


Am Ende des ersten Teilstrings kommt ja "at /| " und dann wird der Datensatz wiederholt. Warum werden denn dort die Datendoppelt eingetragen?

Desweiteren versuche ich mitlerweile verzeweilfelt den Prozentwert für den entsprechenden Plot zu extrahieren. Aber irgendwie funktioneirt das nicht mit folgender Zeile.

Code Auswählen Erweitern


#logdb sysmon:fs_root:::$val=~s/[\d.]*.[\d.]*.([\d.]*).[\d.]*/$1/eg

Diese Zeile habe ich aus dem DB Plot für den Ram aber dort werden die entsprechenden Werte mit zwei Dezimalstellen eingetragen (mit . separiert)und ich denke das ist der Grund warum ich oben die Zeile nicht verwenden kann. Im Moment steh ich aber total auf dem Schlauch wie die Syntax aussehen muss um halt den Prozentwert zu ermitteln.
Hoffe mir kann da jemand weiterhelfen..

Gruß

Markus

[Markus.]

bezüglich des Plots bin ich nun schon mal weiter...ein wenig

Code Auswählen Erweitern


sysmon:fs_root:::$val=~s/.*Used..[\d.]*.([\d.]*).[\d.]*.[\d.]*.[\d.]*/$1/eg


bringt mir zumindest mal den Prozentwert an den Anfang und ein Graph wird angezeigt.

Code Auswählen Erweitern


2016-05-25_04:30:01 13 %, Available: 24263 MB at /


Aber wie bekomme ich das denn hinter dem Prozentwert wieder abgeschnitten?

Hiiiiilllfffffeeee

Gruß

Markus