0

我有一个字段,其中所有值都具有以下格式:

知识:xyz,id:2907129

id 号码总是在变化,但是,我想要的只是 xyz 的值。

我使用以下内容删除“知识:”e

eval url=replace (url, "Open_KnowledgeZone:", "")

对于 id 部分,使用 ",id*" 在 eval replace 函数中不起作用。

4

1 回答 1

1

你会想要使用正则表达式。就像是:

rex field=url "(?<=Knowledge:)(?<AnyFieldName>.*)(?=,)"

<AnyFieldName>您希望结果字段的名称在哪里。这将选择“知识:”之后和“,”之前的所有字符。

这是 Splunk 之外的正则表达式:

https://regex101.com/r/ofW0a1/1

于 2018-02-14T13:02:27.300 回答