我有"{\"data\":{\"correlation_id:\"51g0d88f-3ab8-4mom-betb-b31ed6e1662z\",\"u_originator_uri_raw中的数据。我想将correlation_id的值提取为CorrelationId4
问问题
535 次
1 回答
0
最好使用 JSON 解析器轻松提取字段,例如JSON.parse(_raw).data.correlation_id将返回correlation_id.
我没有要测试的 splunk,但如果您想使用带有正则表达式的 rex splunk 命令,请尝试以下操作:
rex field=_raw "correlation_id:.\"(?<CorrelationId4>.*?).\""
https://docs.splunk.com/Documentation/Splunk/8.1.1/SearchReference/Rex上的详细文档
于 2020-12-21T04:21:32.913 回答