如何从splunk中的String中提取数据?

How to extract data from the String in splunk?

我收到了来自 splunk 的日志,我想在字符串中间获取特定数据并将其用于仪表板。例如:

消息="somestring1 somestring2 500 somestring3 ..."

如何获得值 500?

抱歉,我不是 splunk 专家。提前致谢

我认为您要查找的是 rex 命令。

用法示例:

... | rex field=message "\S+ \S+ (?<extracted_field>\d+) \S+" | stats count by extracted_field