#splunk #splunk-query
#splunk #splunk-запрос
Вопрос:
У меня есть этот поисковый запрос:
index="abc" |search SomeInfo | table _raw
и он возвращает таблицу с результатами в одном столбце в этом формате:
2020-09-10 15:57:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 16:57:33,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 17:58:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
Теперь, как мне получить значение «the_value_i_need» в квадратных скобках[] и отобразить его в таблице вместо отображения всего из _raw?
Ответ №1:
Я уверен, вы знаете, что таблица показывает _raw, потому что вы сказали ей это сделать. Замените «_raw» в table команде другими именами полей, чтобы отобразить эти поля. Если повезет, Splunk извлек для вас несколько полей, но велика вероятность, что он извлек не то, которое вы хотите. Вы можете извлечь поля самостоятельно с помощью rex команды.
index="abc" "SomeInfo"
| rex "[(?<fieldIneed>[^]] )"
| table fieldIneed