1: 先看一下Splunk IDS 文档：

Splunk UBA category to Splunk CIM field mapping reference - Splunk Documentation

里面清楚的记录着哪些是必须字段：

2: 下面开始配这些字段SPL： 发现就是报如下的错：

3: 最后把tag 的字段增加：attack_ids 就可以了，真是奇怪：

index=abc

| rex field=_raw "(?ms)^(?:[^ \\n]* ){10}(?P<dest_ip>[^,]+),\\s+\\w+:\\s+(?P<src_port>\\d+),\\s+\\w+