使用splunk查询提取字段
如何使用splunk查询将日志中所需的数据提取到自定义字段中?
我尝试过使用rex命令进行多次查询,将日志中的某些部分数据提取到一些自定义字段中,但我从未在splunk显示所有输出字段的输出中看到这些数据。
student : {"firstName":"Barry", "lastName":"Allen", "city":"Central City", "address":"xyz"}
student : {"firstName":"Oliver", "lastName":"Queen", "city":"Starling City", "address":"abc"}
student : {"firstName":"Wally", "lastName":"West", "city":"Central City", "address":"mno"}
"student " | rex field=_raw "StudentCity:(?<city>\"city\"\:.*)"
请建议。
共有1个答案
使用此正则表达式:
\"city\"\:\"(?<city>[^"]+)\"
-
我试图从Splunk payload_printable字段中提取一个域(源是Suricata日志),发现这个正则表达式在大多数情况下都能正常工作: 正则表达式为: 我不知道该怎么做。谢谢你的帮助。
-
我试图使用solrj构建一个solr查询。根据我对Solr-7.5.0的理解,solrj的所有库和依赖项都应该包含在我的Solr安装中。下面是我的/dist文件夹,后面是我的/dist/solrj-lib文件夹 现在,我的查询将被绑定到一个html post表单,但我想让solrj先工作。这是我全部的solrj 这将无法编译,因为它无法识别我的类(SolrClient、SolrQuery等)。我肯
-
Splunk 是一款顶级的日志分析软件,如果你经常用 grep、awk、sed、sort、uniq、tail、head 来分析日志,那么你需要 Splunk。能处理常规的日志格式,比如 apache、squid、系统日志、mail.log 这些。对所有日志先进行 index,然后可以交叉查询,支持复杂的查询语句。然后通过直观的方式表现出来。日志可以通过文件方式传倒 Splunk 服务器,也可以通过
-
问题内容: 我想运行一个查询,该查询仅从特定字段返回第一个单词,该字段具有多个由空格分隔的单词,我想我可能需要执行一些正则表达式工作来完成此操作?我知道如何使用PHP中的几种方法来执行此操作,但这最好在数据库端执行。任何想法表示赞赏。谢谢。 问题答案: :http : //dev.mysql.com/doc/refman/5.0/zh- CN/string-functions.html#funct
-
嗨,我是elasticsearch的新手,现在我索引了一个网站,我想用我的查询的单词获得文本摘录, 示例I索引 Lorem ipsum dolor sit amet,consectetur adipiscing Elit。Morbi nec odio在magna blandit porta quis a Nibh。整数sodales ex ut sagittis venenatis。Duis ef
-
问题内容: 我试图通过将页面ID作为参数来提取喜欢Facebook页面的人的详细信息。我提取了该页面的JSON内容,现在我要从中提取用户的名称和ID。 我该如何实现? 码: JSON: 问题答案: 这样的代码就可以解决问题。 基本上是一个JSONArray,因为它以开头。所以根本行不通,您必须使用JSONArray。 注意: 我尚未编译此代码,但我想我给了您继续进行的想法。另请参考此链接以掌握在J