我有一个字段,其中所有值都具有以下格式:
知识:XYZ,ID:2907129
id号总是会改变,但是,我想要的只是xyz的值。
我使用以下内容删除“知识:”e
[0-9]{8}对于id部分,使用“,id *”在eval替换函数中不起作用。
答案 0 :(得分:1)
你想要使用正则表达式。类似的东西:
rex field=url "(?<=Knowledge:)(?<AnyFieldName>.*)(?=,)"
其中<AnyFieldName>是您希望结果字段的名称。这将选择“知识:”之后和“,”之前的所有字符。
以下是Splunk以外的正则表达式: