我们有来自windows azure WADLogs的数据,我将逗号分隔出来并最终看起来像这样:
"0635010205200000000","d921c47290f944a69c3394373b5c5988___Pricing.Api___Pricing.Api_IN_0___0000000001652031516___WADLogsLocalQuery",2013-04-08T12:24:04.8000293Z,635010205409475113,"deploymentid","Role","Role_IN_0",5,2,608,3232,"TimeTaken::16043 ms to perform Action::'some action'; TraceSource 'PricingApiTrace' event"
我想提取名为TimeTaken的字段,值为16043,Action为值为“some action”。
我可以改变开始'“TimeTaken”的位的格式,如果这会使事情变得更容易,并且希望在阅读::自动创建的字段后使用上述格式允许索引自动创建字段,但似乎事实并非如此。
任何指针?
答案 0 :(得分:1)
您可以创建两个search-time field extractions来为TimeTaken和Action创建字段。
您需要为每个字段定义正则表达式,根据您描述的格式,这应该是直截了当的。