Splunk Rex Expression
Интересно, может ли кто-нибудь помочь мне, пожалуйста.
Во-первых, мои извинения за то, что может показаться простым вопросом, но я действительно борюсь с этим.
Я пытаюсь извлечь поле nino из моих необработанных данных в Splunk в следующем формате "nino\":\"AB123456A\",
Этим утром я прочитал довольно много учебных пособий, но все еще не смог найти выражение "Рекс" для этого. Мне просто интересно, сможет ли кто-нибудь дать какое-то руководство о том, что для этого будет выражение "Рекс".
1 ответ
rex Команда поиска - это сокращение от регулярного выражения (также известного как регулярное выражение или регулярное выражение).
Вы можете сделать что-то вроде следующего запроса, который просматривает необработанные чётные значения и пытается разобрать значение для nino:
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"
присоединять | table nino если вы действительно хотите убедиться, что поле было извлечено, что вы можете легко проверить в таблице
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino
Я сгенерировал регулярное выражение, используя экстрактор поля, который довольно интуитивно понятен. Вы, вероятно, захотите сделать свое собственное извлечение поля, так как ваши данные будут не совсем такими, как в добавленном вами примере. В идеале, вам просто нужно определить тип источника с извлечением поля, поэтому вам не нужно использовать rex команда поиска