我有一个看起来像这样的日志:
msg: time=2017-10-25.15:53:07:827 | msg2=somedata:sometitle[{"key1":"value1","key2":"value2"}]
我想获取value2,这是我的splunk查询:
index="some_index" | rex "key2\s*(?<data2>.+)\s*"
这是提取的data2: \',\'value2\'\'
我不知道如何排除斜杠而只获得value2。请帮忙。谢谢。
答案 0 :(得分:2)
您只需要调整正则表达式字符串即可跳过引号。
尝试... | rex field=msg2 "key2\":\"(?<data2>[^\"]+)" | ...