我在splunk上遇到rex命令问题。 我的查询输出如下。
{"(001)NULL.COUNT(1).NUMBER":" 12345"}
我希望仅提取值12345,但此时,我有rex命令,它返回" {"(001) NULL.COUNT(1).NUMBER": "12345"}"。
| rex field=_transfers "(001) NULL.COUNT(1).NUMBER": "(?<value>.*)"
答案 0 :(得分:0)
引号必须在rex命令中转义。此外,如果regex字符串中的括号不属于捕获组,则必须对其进行转义。试试| rex field=_transfers "\\(001) NULL.COUNT\\(1).NUMBER\\": \\"(?<value>.*)"。