我想知道是否有人可以帮助我。
首先,我为这个看似简单的问题道歉,但我真的很挣扎。
我正在尝试从 Splunk 中的原始数据中提取一个 nino 字段,格式如下"nino\":\"AB123456A\"。
今天早上我已经阅读了很多教程,但我仍然无法找到“Rex”的表达方式。我只是想知道是否有人可以提供一些关于“雷克斯”表达方式的指导。
问问题
5120 次
1 回答
2
rex搜索命令是正则表达式(也称为正则表达式或正则表达式)的缩写。
您可以使用以下查询,它查看原始偶数并尝试解析 的值nino:
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"
| table nino如果您想真正确定该字段已被提取,请附加,您可以在表格中轻松验证
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino
我使用字段提取器生成了正则表达式,这非常直观。您可能希望进行自己的字段提取,因为您的数据与您添加的示例不完全相同。理想情况下,您只需要使用字段提取定义一个源类型,因此您不需要使用rex搜索命令。
于 2015-07-14T07:08:30.510 回答