我需要从一个字段中提取整个值
我尝试了不同的Regex模式,但它不起作用,并且想知道是否有一种简单的方法来做到这一点。
这是示例Splunk事件
HelloSample=My tool is too picky and has a hard time
这是我的杂音查询
fields HelloSample
这将返回
My
我希望它像下面一样返回整个字符串
My tool is too picky and has a hard time
答案 0 :(得分:0)
有answers out there that involve doing some pretty intense regexes。但是假设这是一个一次性查询,我认为您可能可以通过以下简单的查询(尽管效率较低)来解决:
index=myIndex "My tool is too picky and has a hard time"
在上面的示例查询中使用引号将对您所需的字符串执行基于文本的搜索。该查询的效率不如仅字段查询有效,但可以完成工作。
答案 1 :(得分:0)
如果您无权修改props.conf来正确提取字段,则此rex会将其拉出(假定它在事件结束时):
index=ndx sourcetype=srctp
| rex field=_raw "HelloSample\=(?<HelloSample>.+)"
如果您的测试不在其他情况下,我们将需要知道存在哪些分度数来完善上述正则表达式