如何编写 splunk 查询以创建 table 视图

how to write splunk query to create a table view

我已登录 Splunk,其中包含按顺序排列的消息

"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-22"

"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-23"

"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-24"

我想在 Splunk 仪表板中创建一个 table 以使用 Splunk 查询查看这些列列出所有案例编号和详细信息

COUNTRYID
GERMAN9876-er4-22
GERMAN9876-er4-23
GERMAN9876-er4-24

我是 splunk 的新手,有人可以指导如何开始构建在哪里寻找东西。任何提示或演示都可以。谢谢

您将需要使用 rex 来隔离所需的字段:

index=<your search>
| rex "\"message\":\" ---Abroad country is good COUNTRYID - (?<CountryID>[\w-]+)\""
| table CountryID

以上内容未经测试