Splunk 查询以提取 XML 标签内的字符串不使用 spath 命令
Splunk query to extract string inside XML tag not working with spath command
我正在使用以下查询:
index=itx "PAD =" | dedup BOC | spath output=Channel path=AsRunMessage.Header.Channel | table BOC, channel
这会导致 xml 内容很大的事件。我需要从标签中提取字符串 "ITX1546"。
我还需要创建一个 table,其中包含包含唯一 BOC 值的不同行。
Channel 字段未被填充。
这是 XML 结构:
有什么想法吗?谢谢
我讨厌 XML 所以我没有用 spath
来回应它。但是,您可以使用 rex
(尽管正则表达式不是解析 XML 的最佳方式)。这个未经测试的查询应该可以帮助您入门。
index=itx "PAD =" | rex "<BOC [^>]+>(?<BOC>[^<]+)[\s\S]+<Channel [^>]+>(?<Channel>[^<]+)"
| stats values(Channel) by BOC
我正在使用以下查询:
index=itx "PAD =" | dedup BOC | spath output=Channel path=AsRunMessage.Header.Channel | table BOC, channel
这会导致 xml 内容很大的事件。我需要从标签中提取字符串 "ITX1546"。 我还需要创建一个 table,其中包含包含唯一 BOC 值的不同行。 Channel 字段未被填充。 这是 XML 结构:
有什么想法吗?谢谢
我讨厌 XML 所以我没有用 spath
来回应它。但是,您可以使用 rex
(尽管正则表达式不是解析 XML 的最佳方式)。这个未经测试的查询应该可以帮助您入门。
index=itx "PAD =" | rex "<BOC [^>]+>(?<BOC>[^<]+)[\s\S]+<Channel [^>]+>(?<Channel>[^<]+)"
| stats values(Channel) by BOC