2

我正在尝试编写一个 Splunk SPL 查询,它将向我显示用户在我的一个 Web 应用程序中寻找的最流行的搜索词。我已经在 Splunk 中有日志,但我很难从事件中提取搜索参数。该事件显示完整的 SQL 选择语句,如下所示:

select result from table where search_term = 'searched for this text'

我怎么能有这个:

index=my_app search_term | top result

我如何实际捕获搜索词?

谢谢

4

1 回答 1

1

您可以使用rex来提取搜索词。像这样的东西

index=my_app | rex "search_term = '(?<search_term>[^']+)"

如果您想要单个单词,请使用split后面的函数mvexpand使每个单词成为单独的事件。

... | eval words=split(search_term, " ") | mvexpand words
于 2018-03-23T12:05:21.380 回答