我的splunk结果中有3个字段,例如message,id和docId。 需要通过具有特定消息的id和doc id对结果进行分组
message="successfully added" id=1234 docId =1345
message="removed someUniqueId" id=1234 docId =1345
我必须根据具有特定消息的两个ID对结果进行分组
search query | rex "message=(?<message[\S\s]*>)" | where message="successfully added"
这是第一次搜索的结果,当我尝试搜索由于someUniqueId而没有给出结果的第二次搜索查询时
search query | rex "message=(?<message[\S\s]*>)" | where match(message, "removed *")
能否请您帮我过滤包含2条消息并按ID和docID分组的结果
答案 0 :(得分:1)
match函数期望使用正则表达式而不是模式作为第二个参数。尝试search query | rex "message=(?<message>[\S\s]*)" | where match(message, "removed .*")。
顺便说一句,rex命令中的正则表达式字符串无效,但这可能是问题中的键入错误。