如何从 Splunk 中的 _raw 获取数据
How to get data from _raw in Splunk
我有这个搜索查询:
index="abc" |search SomeInfo | table _raw
它 returns table 结果在一列中,格式如下:
2020-09-10 15:57:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 16:57:33,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 17:58:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
现在,如何获取方括号[]中的值“the_value_i_need”并将其显示在 table 中而不是显示 _raw 中的所有内容?
我确定您知道 table 正在显示 _raw,因为您告诉它这样做。将 table 命令中的“_raw”替换为其他字段名称以显示这些字段。幸运的是,Splunk 为您提取了几个字段,但很可能它没有提取您想要的字段。您可以使用 rex 命令自行提取字段。
index="abc" "SomeInfo"
| rex "\[(?<fieldIneed>[^\]]+)"
| table fieldIneed
我有这个搜索查询:
index="abc" |search SomeInfo | table _raw
它 returns table 结果在一列中,格式如下:
2020-09-10 15:57:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 16:57:33,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 17:58:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
现在,如何获取方括号[]中的值“the_value_i_need”并将其显示在 table 中而不是显示 _raw 中的所有内容?
我确定您知道 table 正在显示 _raw,因为您告诉它这样做。将 table 命令中的“_raw”替换为其他字段名称以显示这些字段。幸运的是,Splunk 为您提取了几个字段,但很可能它没有提取您想要的字段。您可以使用 rex 命令自行提取字段。
index="abc" "SomeInfo"
| rex "\[(?<fieldIneed>[^\]]+)"
| table fieldIneed