Splunk Rex: извлечение полей строки в значение

Question

Splunk Rex: извлечение полей строки в значение

Я новичок в SPlunk, пытаюсь создать некоторые информационные панели, и мне нужна помощь в извлечении полей определенной переменной.

В моем случае я хочу извлечь только значения KB_List":"KB000119050,KB000119026,KB000119036"в столбец

Expected output:

KB_List
KB000119050,KB000119026,KB000119036

я пытался:

| rex field=_raw "\*"KB_List":(?<KB_List>\d+)\*"

выделил часть ниже в журнале

svc_log_ERROR","Impact":4.0,"CategoryId":"94296c474f356a0009019ffd0210c738","hasKBList":"true","lastNumOfAlerts":1,"splunkURL":false,"impolvedInstances ":" "," highSeverSeverSever Minstances ":" "," highSeverSever Minstances " "," Источник ":"hsym-plyfss01","reqEmail":"true","AlertGroup":"TIBCOP","reqPage":"","KB_List":"KB000119050,KB000119026,KB000119036","reqTicket":"true","autoTicket":true,"SupportGroup":"TESTPP","Environment":"UAT","Urgency":4.0,"AssetId":"AST000000000159689","LiveSupportGroup":"TESTPP","sentPageTo":" ТЕСТПП "},"Уведомление ":{"":{"requestId":"532938335"}},"":

2

splunk splunk-query splunk-formula rex splunk-sum

Источник

user5001308 19 ноя '19 в 20:50

2 ответа

Другие вопросы по тегам splunk splunk-query splunk-formula rex splunk-sum

user9395495 19 ноя '19 в 22:07 2019-11-19 22:07 · Answer 1 · 2019-11-19 22:07

rex field=_raw "KB_List\":\"(?<KB_List>[^\"])\""

Это регулярное выражение будет искать все, что начинается с KB_List":", захватить все, кроме ".

В вашем примере вы собираете только цифры (\d+), тогда как содержимое поля KB_List также содержит символы ("KB" и ",")

2

Источник

user9395495 19 ноя '19 в 22:07

user5001308 20 ноя '19 в 00:46 2019-11-20 00:46 · Answer 2 · 2019-11-20 00:46

Увы:

Я понял это, просмотрев столько статей:

| rex "KB_List\":\"(?<KB_Listed>[^\"]+)" | table KB_Listed

2

Источник

user5001308 20 ноя '19 в 00:46