生成仅包含提取字段的 Splunk 报告
Generate Splunk report with only extracted fields
首先,也许我正在寻找的东西是不可能的,或者我走错了路。请提出建议。
考虑一下,我有 n 个参数的原始数据,每个参数由“&”分隔。
Id=1234&ACC=bc3gds5&X=TESTX&Y=456567&Z=4457656&M=TESTM&N=TESTN&P=5ec3a
使用 SPL,我只过滤了几个我感兴趣的字段(ACC、X、Y)。现在,我想只用表格格式的过滤字段生成报告,而不是整个原始数据。
可能有不止一种方法可以做到这一点,但我喜欢使用 rex。 rex 命令将与正则表达式匹配的文本提取到字段中。一旦你有了这些字段,你就可以在它们上面使用 SPL 来做任何你需要的事情。
index=foo
| rex "ACC=(?<ACC>[^&]+)&X=(?<X>[^&]+)&Y=(?<Y>[^&]+)"
| table ACC X Y
首先,也许我正在寻找的东西是不可能的,或者我走错了路。请提出建议。
考虑一下,我有 n 个参数的原始数据,每个参数由“&”分隔。
Id=1234&ACC=bc3gds5&X=TESTX&Y=456567&Z=4457656&M=TESTM&N=TESTN&P=5ec3a
使用 SPL,我只过滤了几个我感兴趣的字段(ACC、X、Y)。现在,我想只用表格格式的过滤字段生成报告,而不是整个原始数据。
可能有不止一种方法可以做到这一点,但我喜欢使用 rex。 rex 命令将与正则表达式匹配的文本提取到字段中。一旦你有了这些字段,你就可以在它们上面使用 SPL 来做任何你需要的事情。
index=foo
| rex "ACC=(?<ACC>[^&]+)&X=(?<X>[^&]+)&Y=(?<Y>[^&]+)"
| table ACC X Y