Splunk 查询以提取 XML 标签内的字符串不使用 spath 命令

Splunk query to extract string inside XML tag not working with spath command

我正在使用以下查询:

index=itx "PAD =" | dedup BOC | spath output=Channel path=AsRunMessage.Header.Channel  | table BOC, channel

这会导致 xml 内容很大的事件。我需要从标签中提取字符串 "ITX1546"。 我还需要创建一个 table,其中包含包含唯一 BOC 值的不同行。 Channel 字段未被填充。 这是 XML 结构:

有什么想法吗?谢谢

我讨厌 XML 所以我没有用 spath 来回应它。但是,您可以使用 rex(尽管正则表达式不是解析 XML 的最佳方式)。这个未经测试的查询应该可以帮助您入门。

index=itx "PAD =" | rex "<BOC [^>]+>(?<BOC>[^<]+)[\s\S]+<Channel [^>]+>(?<Channel>[^<]+)" 
| stats values(Channel) by BOC