Splunk：如何從結果中獲取特定段落？

Question

我使用此查詢在Splunk的搜索 -

index="some_index" | dedup source | sort -source | dedup sourcetype | table sourcetype, source 

我的結果表明這樣的 -

sourcetype      source 
-----------     -------------- 

dev_architecture_dev1 /u01/splunk/etc/apps/dev-data/data/dev1/dev1-20150629133045.log 
dev_architecture_dev2 /u01/splunk/etc/apps/dev-data/data/dev2/dev2-20150626124438.log 

我想抓住只的年，月，日，小時，分鐘和秒右側前後綴爲 「.log」。例如20150629133045. 然後在'源'列中顯示它像2015-06-29 13:30:45。

有沒有辦法在Splunk6中做到這一點？

感謝您關注這個問題。希望能得到一些答案。

Answer 1

捕獲數據

| rex field=source ".*?(?<dt>\d+)\.log" 

解析成時間

| eval dt = strptime(dt, "%Y%m%d%H%M%S") 

格式但是你需要

| eval dt = strftime(dt, "%Y-%m-%d %H:%M:%S") 

輸出

| table sourcetype source dt