Извлечь значения из поля

Question

Извлечь значения из поля

Мне нужно извлечь все значение из поля

Я пробовал разные шаблоны Regex, и это не сработало, и мне было интересно, есть ли простой способ сделать это.

Вот пример Splunk Event

HelloSample=My tool is too picky and has a hard time

Вот мой спленк запрос

fields  HelloSample

Это возвращает

My

Я хочу вернуть всю строку, как показано ниже

My tool is too picky and has a hard time

-1

regex splunk splunk-query

Источник

user11026796 07 фев '19 в 06:53

1 ответ

Другие вопросы по тегам regex splunk splunk-query

user4418 04 ноя '20 в 15:58 2020-11-04 15:58 · Answer 1 · 2020-11-04 15:58

Если у вас нет возможности изменить свой props.conf чтобы правильно извлечь поле, это rex потянет его (предполагая, что это в конце события):

index=ndx sourcetype=srctp
| rex field=_raw "HelloSample\=(?<HelloSample>.+)"

Если ваш тест находится где-то в другом месте, нам нужно знать, какие существуют разделители для уточнения вышеуказанного регулярного выражения.

user4851565 07 фев '19 в 07:06 2019-02-07 07:06 · Answer 2 · 2019-02-07 07:06

Есть ответы, которые включают в себя довольно интенсивные регулярные выражения. Но, предполагая, что это разовый запрос, я думаю, что вы, вероятно, можете обойтись без простого (хотя и менее эффективного) запроса, подобного следующему:

index=myIndex "My tool is too picky and has a hard time"

Использование кавычек в приведенном выше примере запроса приведет к текстовому поиску нужной вам строки. Этот запрос не будет столь же эффективным, как поиск по полям, но он должен выполнить свою работу.