标签: regex parsing splunk
我想通过Splunk解析一些日志但是多行的日志。
Value1: 1000 MS Value2: 300 MS Value3: 1500 MS
我很难通过Splunk文档了解如何从一个事件中提取这些字段。
到目前为止我只解析第一个字段并添加更多字段似乎不起作用。
rex field=_raw "(?<object1>\w+): (?<totalms1>\d+) MS" | table object1, totalms1