0

我在 Sentinel 中有一个日志源,它在同一个日志中以两种不同的方式分隔数据,例如-`$60.

到目前为止,我已经尝试过:

| extend FieldNameSplit = split(FieldName , '-|$60')

也:

| extend FieldNameSplit = split(FieldName, '-')
| extend FieldNameSplitTwo = split(FieldNameSplit, '$60')

这些方法都没有被证明是有效的。还有其他想法吗?

提前感谢您的洞察力!

4

2 回答 2

0

就个人而言,我选择在这种情况下使用 parse-where。

于 2021-11-04T21:47:29.013 回答
0

如果我正确理解您的问题,您可以尝试使用该extract_all()功能:https ://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/extractallfunction

例如:

print input = "a-b-c$60d-e$60f$60g-h"
| extend output= extract_all(@"([^-(\$60)]+)", values)
输入 输出
abc$60de$60f$60gh [
“a”、
“b”、
“c”、
“d”、
“e”、
“f”、
“g”、
“h”
]
于 2021-11-04T17:47:15.487 回答