从请求正文中提取相同字段的所有出现

时间:2019-10-03 07:48:23

标签: splunk splunk-query

我在一个请求正文中有多次相同的字段,并且需要查找每次出现的值。类似于subTypeCodeId字段。结果应该具有subTypeCodeId = 2 subTypeCodeId = 3 

{
  "Items": [
    {
      "emailId": "@stny.com",
      "item": {
        "subTypeCodeId": "2"
      }
    },
    {
      "emailId": "@comcast.com",
      "item": {
        "subTypeCodeId": "3"
      }
    }
  ]
}

splunk查询:index =“ gcp_prod_ecomm_cx_wallet”“ 1570081534220”“ API_NAME:wallet.addItemsToWalletBulk ” | rex“ subTypeCodeId \ x5C \”:\ x5C \“(?。*)\”“ < / p>

1 个答案:

答案 0 :(得分:0)

使用max_match的{​​{1}}选项。它将使subTypeCodeId成为包含所有值的多值字段。

rex

您可能还想研究可以解析json数据的index="gcp_prod_ecomm_cx_wallet" "1570081534220" "API_NAME:wallet.addItemsToWalletBulk" | rex max_match=0 "subTypeCodeId\x5C\":\x5C\"(?<subTypeCodeId>.*)\"" 命令。

相关问题
最新问题