如何在Splunk中转义值?

时间:2015-07-30 09:19:44

标签: splunk

Splunk最佳实践说使用键/值对。它还表示如果值包含空格,则将值包装在引号中。所以,我们假设我的原始值为Fred Smith

my_key=name my_value="Fred Smith"

没关系,我已经添加了引号。但是,如果我的原始值为" Fred Smith"(请注意已经存在的引号并且在开头存在空格),这会产生:

my_key=name my_value="" Fred Smith""

这将被视为:

my_key=name my_value=""
my_key=Fred my_value=Smith""

在Splunk值中转义引号的最佳做法是什么?

1 个答案:

答案 0 :(得分:5)

如果您控制了数据格式,您的选项包括:

  • 在所有内容周围添加单引号。
  • 使用双引号,但使用反斜杠转义内部引号
  • 使用JSON代表数据而不是KV对的扁平字符串。 JSON语法处理此引用案例(不添加额外的引号),如果需要,还可以添加嵌套结构。

您可以通过设置KV_MODE来控制搜索时字段提取行为。你可能会发现auto_escaped会做到这一点。请参阅Splunk知识管理器手册中的Setting KV_MODE for search-time data

相关问题
最新问题