我正在使用下面的rex表达式搜索原始数据中的以下字段:
地址第1行 地址第2行 地址第3行 地址第4行,和 邮编
| rex "Address Line 1=(?<address1>[^,]*)" | rex "Address Line 2=(?<address2>[^,]*)" | rex "Address Line 3=(?<address3>[^,]*)" | rex "Address Line 4=(?<address4>[^,]*)" | rex "Postcode=(?<postcode>[^,]*)" |
正如您可以通过表达式看到的那样,每个字段都被分配了一个变量,因此对于地址行1,变量是地址1,地址行2是“地址2”,依此类推。
正如您也将毫无疑问地看到,上面的表达式包含多个rex表达式,有人可能会告诉我,是否有办法将这些表达式组合成一个rex表达式。
答案 0 :(得分:0)
第https://docs.splunk.com/Documentation/Splunk/6.6.1/SearchReference/Rex页上的第一个示例显示了如何使用单个rex命令提取多个字段。如果您的_raw为多行,请根据需要使用\n或\r。
http://docs.splunk.com/Documentation/Splunk/6.6.1/Knowledge/AboutSplunkregularexpressions