Splunk - 如何提取两个字段不同的计数一个字段由另一个字段?
Splunk - How to extract two fileds distinct count one field by the other field?
我有这样的事件:
Id":"123456","string","groupId":"AB123"}]
我想提取字段 Id,即 123456 和 groupId,即 AB123。
我试过这个:
query
| rex field=_raw "Id\":\"(?<Id>\d+)\".+groupId\W+(?<groupId>\w+)"
| timechart partial=f span=10m dc(Id) by groupId
没算什么。
我做错了什么?
首先,您按可能不存在的字段分组(您是指 groupId 而不是 serviceId 吗?)
其次,你确定你的正则表达式是正确的吗?
这个tested一个比较简单:
| rex field=_raw "Id\W+(?<Id>\d+)\D+groupId\W+(?<groupid>\w+)"
我有这样的事件:
Id":"123456","string","groupId":"AB123"}]
我想提取字段 Id,即 123456 和 groupId,即 AB123。
我试过这个:
query
| rex field=_raw "Id\":\"(?<Id>\d+)\".+groupId\W+(?<groupId>\w+)"
| timechart partial=f span=10m dc(Id) by groupId
没算什么。
我做错了什么?
首先,您按可能不存在的字段分组(您是指 groupId 而不是 serviceId 吗?)
其次,你确定你的正则表达式是正确的吗?
这个tested一个比较简单:
| rex field=_raw "Id\W+(?<Id>\d+)\D+groupId\W+(?<groupid>\w+)"