0

我们有来自 Windows azure WADLogs 的数据,我导出逗号分隔并最终看起来像这样:

"0635010205200000000","d921c47290f944a69c3394373b5c5988___Pricing.Api___Pricing.Api_IN_0___0000000001652031516___WADLogsLocalQuery",2013-04-08T12:24:04.8000293Z,635010205409475113,"deploymentid","Role","Role_IN_0",5,2,608,3232,"TimeTaken::16043 ms to perform Action::'some action'; TraceSource 'PricingApiTrace' event"

我想提取值为 16043 的名为 TimeTaken 的字段和值为“某些操作”的 Action。

我可以更改以“TimeTaken”开头的位的格式,如果这会使事情变得更容易,并且希望在阅读 :: 自动创建的字段后,使用上述格式将允许索引自动创建字段,但似乎事实并非如此。

任何指针?

4

1 回答 1

1

您可以创建两个搜索时间字段提取TimeTaken来为和创建字段Action

您需要为每个字段定义一个正则表达式,考虑到您描述的格式,这应该很简单。

于 2013-04-14T17:47:38.413 回答