如何解决从特定事件中提取 Splunk 中的自定义字段
我想提取错误类型并将其存储在每个事件的 error_type
字段中。
我在不同事件的日志中主要发生了三种错误。
我希望 error_type
应该只填充特定事件具有的错误。
我尝试从 Splunk 日志中提取字段,但我无法为错误类型添加带有 OR 字段的正则表达式或正则表达式。
此外,我希望如果除了 A、B 或 C 之外的错误出现在任何其他事件中,都不应填充该事件中的 error_type
字段。这可能吗??
解决方法
你不知道为什么不能使用正则表达式,所以我要使用一个。示例事件中有不止一个异常,rex
命令可以很好地处理这些异常。然后我们将使用 mvindex
选择找到的最后一个异常。
... | rex max_match=0 "nested exception is (?<exceptions>[^\[]+)"
| eval variable = mvindex(exceptions,-1)
| ...
与大多数 Splunk 查询一样,每个事件都是单独处理的,因此几乎不用担心搜索中出现多个事件。此查询将为找到的每个错误事件返回一个变量。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。