1
我想知道是否有人可以幫助我。Splunk Rex Expression
首先,我對可能看起來很簡單的問題表示歉意,但我真的很爲此而苦惱。
我想從我的Splunk原始數據中提取一個nino字段,格式爲"nino\":\"AB123456A\"。
今天早上我已經閱讀了很多教程,但是我仍然無法找到這個'Rex'表達式。我只是想知道是否有人能夠提供一些關於'雷克斯'表達是什麼的指導。
A
回答
1
rex search command是正則表達式(也稱爲正則表達式或正則表達式)的縮寫。
你可以像下面的查詢,它看起來在原始甚至並試圖解析出爲nino值:
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"
追加| table nino如果你想真正確保提取領域,您可以輕鬆地在表中
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino
驗證我生成使用field extractor正則表達式,這是非常直觀的。您可能想要自己進行字段提取,因爲您的數據不會完全像您添加的示例。理想情況下,您只需要使用字段提取來定義源類型,這樣就不需要使用rex搜索命令。
相關問題
- 1. Splunk的subsearches
- 2. 正則表達式適用於Splunk rex中除1.00外的所有內容
- 3. AngularJS Expression in Expression
- 4. Splunk appendcols不查詢所有事件
- 5. REX OS和Brew OS之間的關係?
- 6. 使用Dygraph與Rex進行反應?
- 7. Grails&Splunk java sdk
- 8. Splunk數據庫
- 9. 海星或splunk
- 10. Splunk Fields - Broken
- 11. Splunk的 - 由GUID
- 12. Splunk地圖不會丟失字段
- 13. expression blend
- 14. Spring與Splunk集成
- 15. Splunk無法查找
- 16. Splunk與GMSServices衝突
- 17. Splunk和Winston for Nodejs
- 18. DNS的Splunk(perl)REGEX
- 19. Splunk日期比較
- 20. Splunk索引基準
- 21. Splunk石墨集成
- 22. `芯恆定expression` VS`恆定expression`
- 23. Splunk的雷克斯查詢不會返回期望的結果
- 24. 的Splunk:「淨停止Splunk的」只適用*有時*
- 25. 使用Splunk Universal Forwarders或Splunk REST API的優勢?
- 26. splunk logback/log4j appender似乎沒有記錄splunk
- 27. 使用另一個splunk查詢的結果過濾splunk結果
- 28. Splunk 6:「無法在此Splunk實例上進行預覽」
- 29. Java Unicode Regular Expression
- 30. Haskell - Let in expression
嗨@Shakeel,感謝您抽出寶貴的時間回覆我的文章並給出了很好的答案。 我也有興趣閱讀關於'領域extrcator'的鏈接。我會看看這個。 非常感謝和親切的問候 – IRHM