在尝试将rex用作splunk搜索的一部分时,我有一个正常工作的正则表达式:
eventtype=my_type | rex field=_raw ".*\[(?<foo>.*?)\].*" | table _time, foo
但是当我尝试将搜索保存到仪表板表中时,出现以下错误:
第29行解析XML时出错:标记形式第1行的数据过早结束
我知道我的查询很好,因为当我在将其添加到仪表板表时单击“运行搜索”按钮时,会得到有效的结果。但是,当我单击“保存”按钮时,出现上述错误。
我怀疑regular expression中的命名组捕获正在摆脱XML解析器。
如何将带有名称捕获的rex正则表达式用作仪表板查询的一部分?
预先感谢您的考虑和答复。
答案 0 :(得分:1)
要使用命名组捕获,必须将尖括号替换为<和>:
... | rex field=_raw ".*\[(?<foo>.*?)\].*" | ...