Splunk:尝试在搜索时拆分多行事件
Splunk: Trying to split multiline event at search time
2018-06-20T00:04:35.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\documents.db
2018-06-20T00:07:16.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:21.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:26.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
我一直在努力使我的 splunk 查询正确,以便将这个事件拆分为多个事件,但由于某种原因我无法正确查询。
我尝试在换行符上拆分,但返回的结果集没有变化。我从在线阅读中了解到我应该使用
的内容
myQuery | rex field=_raw "\[(?P<field1>...).*[\r\n]"
顺便说一句,抱歉。我的正则表达式游戏不强。
我意识到这可以简单地使用
来完成
myQuery | multikv noheader=t
我希望这对其他人有帮助,因为我花了几个小时试图使正则表达式正确。
编辑:固定命令。
尝试... | eval events=split(_raw, "\n") | mvexpand events | ...。
顺便说一句,regex101.com 非常适合测试正则表达式字符串。
2018-06-20T00:04:35.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\documents.db
2018-06-20T00:07:16.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:21.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:26.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
我一直在努力使我的 splunk 查询正确,以便将这个事件拆分为多个事件,但由于某种原因我无法正确查询。
我尝试在换行符上拆分,但返回的结果集没有变化。我从在线阅读中了解到我应该使用
的内容myQuery | rex field=_raw "\[(?P<field1>...).*[\r\n]"
顺便说一句,抱歉。我的正则表达式游戏不强。
我意识到这可以简单地使用
来完成myQuery | multikv noheader=t
我希望这对其他人有帮助,因为我花了几个小时试图使正则表达式正确。
编辑:固定命令。
尝试... | eval events=split(_raw, "\n") | mvexpand events | ...。
顺便说一句,regex101.com 非常适合测试正则表达式字符串。