我想知道是否有人可以帮助我。
首先,我对这看似简单的问题表示道歉,但我真的很挣扎。
我正在尝试从Splunk中的原始数据中提取一个nino字段,其格式为"nino\":\"AB123456A\"。
今天早上我已经阅读了很多教程,但我仍然无法找到'Rex'表达式。我只是想知道某人是否能够就“雷克斯”的表达方式提供一些指导。
答案 0 :(得分:1)
rex search command是正则表达式的缩写(也称为正则表达式或正则表达式)。
您可以使用以下查询,查看raw even并尝试解析nino的值:
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"
如果您想确保提取字段,请附加| table nino,您可以在表格中轻松验证
index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino
我使用field extractor生成了正则表达式,这非常直观。您可能希望自己进行字段提取,因为您的数据与您添加的示例不完全相同。理想情况下,您只需要使用字段提取来定义源类型,这样就不需要使用rex搜索命令。