Splunk:如何在不使用正则表达式的情况下直接在搜索栏中提取字段?
Splunk: How to extract fields directly in search bar without having to use regular expressions?
我发现直接在搜索栏中使用正则表达式提取字段非常困难。另一个问题是我没有权限与其他人共享我提取的字段(由字段提取器提取并在字段提取中声明)。我现在正在寻找另一种直接在搜索栏中提取字段的方法。 Splunk 中是否有类似的功能?
谢谢!
经过一些练习,正则表达式并没有那么糟糕。将它们视为另一种需要了解的编程语言。
还有其他提取字段的方法,但大多数方法效率较低且灵活性较低。
spath 和 xpath 命令将分别从 JSON 和 XML 中提取字段。
multikv 从 table 格式的数据中提取字段(如从顶部)。
extract 命令可用于将 key/value 对解析为字段。
eval命令可以与各种函数结合使用,将事件解析成字段。
我发现直接在搜索栏中使用正则表达式提取字段非常困难。另一个问题是我没有权限与其他人共享我提取的字段(由字段提取器提取并在字段提取中声明)。我现在正在寻找另一种直接在搜索栏中提取字段的方法。 Splunk 中是否有类似的功能?
谢谢!
经过一些练习,正则表达式并没有那么糟糕。将它们视为另一种需要了解的编程语言。
还有其他提取字段的方法,但大多数方法效率较低且灵活性较低。
spath 和 xpath 命令将分别从 JSON 和 XML 中提取字段。
multikv 从 table 格式的数据中提取字段(如从顶部)。
extract 命令可用于将 key/value 对解析为字段。
eval命令可以与各种函数结合使用,将事件解析成字段。