这适用于splunk。
我们有带ID的事件开始和完成日志。所以最初我们会有日志说“事件开始为id:[aaa]”然后我们将“事件已完成id:[aaa]”
如何创建一个类似于此类的表格?
Eventid Completed
aaa Yes
bbb No
我尝试从“aaa”中提取一个字段,设法写一个搜索,它返回一个ID列表。问题是我如何搜索返回的每个ID然后匹配并将它们放入表中?
答案 0 :(得分:0)
你在帖子中遗漏了很多信息,但这里有一些可怕的代码,我已经写过了在python中执行此操作。这将获得您想要的数据,因此您只需添加一行即可将其写入您希望的任何格式的表格的新行(csv等)。
with open('yourdata.txt') as f:
for line in f:
substring = line[:7]
if substring == "Event s":
firstSplit = line.split("]")
secondSplit = firstSplit[0] .split('[')
// if something write data: secondSplit[1]
elif substring == "Event c":
firstSplit = line.split("]")
secondSplit = firstSplit[0] .split('[')
// if something else write data: secondSplit[1]