标签: splunk rex
我有以下格式的Splunk日志:
{"Apple": {"message":"abcdefgh.ijkl","code":"200"} }
我想分别过滤消息“ abcdefgh.ijkl”和代码。
答案 0 :(得分:0)
在查询中尝试使用此rex命令。
rex
... | rex "message\":\"(?<message>[^\"]+)\",\"code\":\"(?<code>\d+)" | ...