如何在没有字段分配给 table 的情况下移动 Splunk 中的原始数据?
How to move raw data in Splunk with no field assigned to a table?
这可能是一个非常简单的问题,但到目前为止我还没有找到答案。我有一些来自某些事件的原始数据,例如“(持续时间 5555 毫秒)”,我想将其放入“| timechart span = 1m count by duration”以创建一个图表,显示这些事件发生的时间及其总数期间。目前没有设置持续时间的字段,它只是原始数据。我如何将这些数字添加到我的时间表中?
您首先需要将持续时间的值提取到一个字段中。您很可能会为此使用 regex (rex) 函数。
您需要的确切命令在很大程度上取决于您的数据。但是对于您的示例“(持续时间 5555 毫秒)”,假设该值始终以毫秒为单位,这应该可以工作。
| rex field=_raw "\(duration (?<duration>\d+)ms.*"
这可能是一个非常简单的问题,但到目前为止我还没有找到答案。我有一些来自某些事件的原始数据,例如“(持续时间 5555 毫秒)”,我想将其放入“| timechart span = 1m count by duration”以创建一个图表,显示这些事件发生的时间及其总数期间。目前没有设置持续时间的字段,它只是原始数据。我如何将这些数字添加到我的时间表中?
您首先需要将持续时间的值提取到一个字段中。您很可能会为此使用 regex (rex) 函数。
您需要的确切命令在很大程度上取决于您的数据。但是对于您的示例“(持续时间 5555 毫秒)”,假设该值始终以毫秒为单位,这应该可以工作。
| rex field=_raw "\(duration (?<duration>\d+)ms.*"