如何解决如何从Splunk中的_raw获取数据
我有这个搜索查询:
index="abc" |search SomeInfo | table _raw
,它以这种格式返回表格,并在结果的一列中显示结果:
2020-09-10 15:57:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 16:57:33,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
2020-09-10 17:58:24,479 [the_value_i_need] INFO java.class.name:52 - SomeInfo|NAME=NAME1
现在,如何获取方括号[]中的值“ the_value_i_need”并将其显示在表格中,而不是显示_raw的所有内容?
解决方法
我确定您知道该表正在显示_raw,因为您已告诉它这样做。将table
命令中的“ _raw”替换为其他字段名称以显示这些字段。运气好的话,Splunk会为您提取几个字段,但是很可能它没有提取您想要的字段。您可以使用rex
命令自己提取字段。
index="abc" "SomeInfo"
| rex "\[(?<fieldIneed>[^\]]+)"
| table fieldIneed