我是Splunk的新手。因此,我将需要一些支持来构建搜索查询。
下面是我的日志的打印方式:
[181] xxxx-xx-xx xx:xx:xx信息(多行文本)RITM1234 :: Failled原因,原因是ROOT CAUSE ::票证是一个Add,但没有有效的名为XYZ的帐户供用户使用
[181] xxxx-xx-xx xx:xx:xx信息(很多文本)RITM1234 :::: FAILED BECAUSE(因为失败)::帐户XYZ对于用户1234不正确。不会关闭票证。
我希望以下面的表格格式显示输出:
RITM1234 | XYZ | 1234 |门票是一个添加项,但没有有效的名为XYZ的帐户供用户使用