我正在尝试编写一个Splunk SPL查询,它会向我显示用户在我的某个网络应用中寻找的最热门搜索字词。我已经在Splunk中使用了日志,但是我很难从事件中提取搜索参数。该事件显示完整的SQL select语句,类似于以下查询:
select result from table where search_term = 'searched for this text'
我怎么能这样:
index=my_app search_term | top result
如何实际捕获搜索字词?
谢谢
答案 0 :(得分:1)
您可以使用rex提取搜索字词。像这样的东西
index=my_app | rex "search_term = '(?<search_term>[^']+)"
如果您需要单词,请使用split函数,然后使用mvexpand将每个单词作为单独的事件。
... | eval words=split(search_term, " ") | mvexpand words