当我在Splunk中执行此查询时,我得到以下结果:
host = PVUKSDCWTMS004 sourcetype =" UK_Latency_Measure" |雷克斯"日期 :(?\ d \ d \ d \ D- \ d \ D- \ d \ d)," | rex"时间:,(?\ d \ d:\ d \ d)," | rex" TF-WOL:(?\ d +),TF-WL:(?\ d +)," | eval TF-TOT = (TFWOL + TFWL)|表时间日期TFWL TFWOL |排序+日期+时间
但是当我在Splunk仪表板中解析相同的查询时,我得到以下错误
尝试更新时遇到以下错误:在处理程序中 ' views':在第51行解析XML时出错:标记中数据的过早结束 表格第1行
答案 0 :(得分:0)
注意:在上面的原始查询中,某些内容似乎未正确呈现。该错误消息与XML开头和结尾标记(即由开头和结尾括号标识的元素)之间缺少平衡有关。我假设您在上方的Splunk rex command中使用方括号来捕获新的字段名称。
首先将原始Splunk搜索另存为“仪表盘面板”,然后编辑仪表盘以检查XML源。您将看到所有“小于”和“大于”括号都更改为XML / HTML转义序列:
So "<" becomes "<" and ">" becomes ">" in the Splunk XML dashboard.