使用splunk查询提取字段
如何使用splunk查询将日志中所需的数据提取到自定义字段中?
我尝试过使用rex命令进行多次查询,将日志中的某些部分数据提取到一些自定义字段中,但我从未在splunk显示所有输出字段的输出中看到这些数据。
student : {"firstName":"Barry", "lastName":"Allen", "city":"Central City", "address":"xyz"}
student : {"firstName":"Oliver", "lastName":"Queen", "city":"Starling City", "address":"abc"}
student : {"firstName":"Wally", "lastName":"West", "city":"Central City", "address":"mno"}
"student " | rex field=_raw "StudentCity:(?<city>\"city\"\:.*)"
请建议。
共有1个答案
使用此正则表达式:
\"city\"\:\"(?<city>[^"]+)\"
-
我试图从Splunk payload_printable字段中提取一个域(源是Suricata日志),发现这个正则表达式在大多数情况下都能正常工作: 正则表达式为: 我不知道该怎么做。谢谢你的帮助。
-
我试图使用solrj构建一个solr查询。根据我对Solr-7.5.0的理解,solrj的所有库和依赖项都应该包含在我的Solr安装中。下面是我的/dist文件夹,后面是我的/dist/solrj-lib文件夹 现在,我的查询将被绑定到一个html post表单,但我想让solrj先工作。这是我全部的solrj 这将无法编译,因为它无法识别我的类(SolrClient、SolrQuery等)。我肯
-
Splunk 是一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你需要 Splunk。能处理常规的日志格式,比如 apache、squid、系统日志、mail.log 这些。对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句。然后通过直观的方式表现出来。日志可以通过文件方式传倒 Splunk 服务器,也可以通过
-
问题内容: 我想运行一个查询,该查询仅从特定字段返回第一个单词,该字段具有多个由空格分隔的单词,我想我可能需要执行一些正则表达式工作来完成此操作?我知道如何使用PHP中的几种方法来执行此操作,但这最好在数据库端执行。任何想法表示赞赏。谢谢。 问题答案: :http : //dev.mysql.com/doc/refman/5.0/zh- CN/string-functions.html#funct
-
嗨,我是elasticsearch的新手,现在我索引了一个网站,我想用我的查询的单词获得文本摘录, 示例I索引 Lorem ipsum dolor sit amet,consectetur adipiscing Elit。Morbi nec odio在magna blandit porta quis a Nibh。整数sodales ex ut sagittis venenatis。Duis ef
-
问题内容: 如何使用ui-router for AngularJS 提取查询参数? 在AngularJS自己的服务中,我做到了: ($ location.search())。uid 从URL提取参数uid。ui-router的对应代码是什么? 问题答案: 除非您绑定到查询参数(请参阅文档),否则您不会直接通过或访问它们。使用服务。 编辑: 根据文档,如果您要捕获中的查询参数,则可以将追加到,并命名