我从splunk得到了一个日志,我想在字符串中间获取特定的数据并将其用于仪表板。例如:
msg =“ somestring1 somestring2 500 somestring3 ...”
如何获得500的值?
对不起,我不是流氓专家。预先感谢
答案 0 :(得分:1)
我认为您正在寻找的是rex命令。
用法示例:
... | rex field=message "\S+ \S+ (?<extracted_field>\d+) \S+" | stats count by extracted_field