這是用於splunk的。字符串與日誌中的字段匹配
我們有帶ID的事件開始和完成日誌。所以最初我們會有日誌說「事件開始爲id:[aaa]」,然後我們將「事件完成爲id:[aaa]」
我該如何製作一個表,這樣或類似的東西?
Eventid Completed
aaa Yes
bbb No
我試圖從「AAA」提取場設法寫返回我的ID列表的搜索。問題是我如何搜索每個返回的ID,然後匹配並將它們放入表格中?
你錯過了很多信息在你的文章,但這裏有一些可怕的代碼,我已經寫在python做到這一點。這將得到你想要的數據,所以你只需要添加一行來把它寫到你想要的任何格式的表格的新行(csv等)。
with open('yourdata.txt') as f:
for line in f:
substring = line[:7]
if substring == "Event s":
firstSplit = line.split("]")
secondSplit = firstSplit[0] .split('[')
// if something write data: secondSplit[1]
elif substring == "Event c":
firstSplit = line.split("]")
secondSplit = firstSplit[0] .split('[')
// if something else write data: secondSplit[1]
你想把它寫到csv什麼的? – Peter