Splunk: Как получить определенный раздел из результата в splunk?

Question

Splunk: Как получить определенный раздел из результата в splunk?

Я использую этот запрос в поиске Spunk -

index="some_index" | dedup source | sort -source | dedup sourcetype | table sourcetype, source

Мой результат показывает, как это -

sourcetype                     source
-----------                 --------------

dev_architecture_dev1    /u01/splunk/etc/apps/dev-data/data/dev1/dev1-20150629133045.log
dev_architecture_dev2    /u01/splunk/etc/apps/dev-data/data/dev2/dev2-20150626124438.log

Я хочу получить только год, месяц, день, час, минуты и секунды прямо перед ".log". например, 20150629133045. И затем отобразите его как 2015-06-29 13:30:45 в столбце "источник".

Есть ли способ сделать это в Splunk6?

Спасибо за просмотр вопроса. Надеюсь получить ответы на некоторые вопросы.

1

splunk rex

Источник

user5051928 01 июл '15 в 06:40

1 ответ

Другие вопросы по тегам splunk rex

user2728136 27 мар '17 в 03:18 2017-03-27 03:18 · Answer 1 · 2017-03-27 03:18

Захват данных

| rex field=source ".*?(?<dt>\d+)\.log"

Разобраться во времени

| eval dt = strptime(dt, "%Y%m%d%H%M%S")

Отформатируйте как вам нужно

| eval dt = strftime(dt, "%Y-%m-%d %H:%M:%S")

Выход

| table sourcetype source dt

0

Источник

user2728136 27 мар '17 в 03:18