誰かが私を助けてくれるだろうか。
最初に、単純な質問に見えるかもしれないことをお詫びしますが、私はこれに本当に苦労しています。
次の形式の Splunk の生データから nino フィールドを抽出しようとしています"nino\":\"AB123456A\"。
今朝かなりの数のチュートリアルを読みましたが、これを表す 'Rex' 表現をまだ見つけることができませんでした。「レックス」の表現がこれに対してどうなるかについて、誰かが何らかのガイダンスを提供できるかどうか疑問に思いました.
5120 次
1 に答える
2
rex検索コマンドは正規表現 (regex または regexp とも呼ばれます)の略です。
生のイベントを見て、 の値を解析しようとする次のクエリのようにすることができますnino。
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"
| table ninoフィールドが抽出されたことを本当に確認したい場合は追加します。これはテーブルで簡単に確認できます
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino
非常に直感的なfield extractorを使用して正規表現を生成しました。データは追加した例とまったく同じではないため、おそらく独自のフィールド抽出を行う必要があります。理想的には、フィールド抽出でソースタイプを定義するだけでよいので、rex検索コマンドを使用する必要はありません。
于 2015-07-14T07:08:30.510 に答える