1

我在 splunk 搜索中使用此查询 -

index="some_index" | dedup source | sort -source | dedup sourcetype | table sourcetype, source

我的结果是这样的——

sourcetype                     source
-----------                 --------------

dev_architecture_dev1    /u01/splunk/etc/apps/dev-data/data/dev1/dev1-20150629133045.log
dev_architecture_dev2    /u01/splunk/etc/apps/dev-data/data/dev2/dev2-20150626124438.log

我只想在“.log”之前获取年、月、日、小时、分钟和秒。例如 20150629133045。然后在“源”列中显示为 2015-06-29 13:30:45。

有没有办法在 Splunk6 中做到这一点?

感谢您查看问题。希望能得到一些答案。

4

1 回答 1

0

捕获数据

| rex field=source ".*?(?<dt>\d+)\.log"

解析成时间

| eval dt = strptime(dt, "%Y%m%d%H%M%S")

随心所欲地格式化

| eval dt = strftime(dt, "%Y-%m-%d %H:%M:%S")

输出

| table sourcetype source dt
于 2017-03-27T03:18:46.193 回答