2 
2018-06-20T00:04:35.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\documents.db
2018-06-20T00:07:16.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:21.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:26.000+00:00 (980) WAL Autocheckpointing, name=C:\Program 
Files\PriceService\data\store-promotions.db

我一直试图让我的 splunk 查询正确,以便将这一事件拆分为多个事件,但由于某种原因,我无法正确查询。

我试图在换行符上拆分,但结果集不变。我从在线阅读中了解到,我应该使用以下内容

myQuery | rex field=_raw "\[(?P<field1>...).*[\r\n]"

顺便道歉。我的正则表达式游戏不强。

4

2 回答 2

5

我意识到这可以简单地使用

myQuery | multikv noheader=t

我希望这对其他人有所帮助,因为我花了几个小时试图让正则表达式正确。

编辑:固定命令。

于 2018-06-20T14:58:28.047 回答
3

试试... | eval events=split(_raw, "\n") | mvexpand events | ...

顺便说一句,regex101.com 非常适合测试正则表达式字符串。

于 2018-06-21T01:36:16.880 回答