我有以下查询:
search (...) AND ERROR
| rex field=error "^.*(?<vcbn>Value cannot be null.)$"
| stats count(vcbn) by error
但无论出于何种原因,stats count(vcbn) by error都没有产生任何结果。
此外,rex field=error "^.*(?<vcbn>Value cannot be null.)$"未在事件搜索结果左侧的列表中构建新字段。
搜索本身返回170 events。
Splunk版本:4.3.3
答案 0 :(得分:0)
看起来rex命令无法在搜索时提取。
您可以从日志事件中提供示例_raw日志事件或“错误”字段吗?
另请参阅,
http://docs.splunk.com/Documentation/Splunk/6.0.1/SearchReference/Rex
答案 1 :(得分:0)
经过一番研究,我找到了解决方案。第一个问题是我误解了field命令的rex参数。这意味着告诉解析器是搜索的字段。我接下来要做的就是确保使用行字符^和$。最后,我不得不在混合中添加尾随.*,以便查看整个_raw字段。
rex "^.*(?<vcbn>Value cannot be null).*$"
| stats count(vcbn)
注意:内置_raw字段。