splunk - Splunk rex 查询过滤消息

Question

我有以下格式的 splunk 日志：

{"Apple":
    {"message":"abcdefgh.ijkl","code":"200"}
}

我想分别过滤消息“abcdefgh.ijkl”和代码。

score 0 · Accepted Answer

在您的查询中尝试此rex命令。

... | rex "message\":\"(?<message>[^\"]+)\",\"code\":\"(?<code>\d+)" | ...

1 回答 1