标签: splunk splunk-query
我需要知道从值的开头减去字符串直到Spl中的特定字符。例如,如果我有一个包含电子邮件或其他数据的字段:
邮件来自:YYYY@XXXXX.com BODY = 7BIT
如何仅获取电子邮件地址YYYY@XXXXX.com
感谢您的帮助。
答案 0 :(得分:1)
最好的方法是使用正则表达式。
| rex field = _raw“(? \ S + @ \ S +)”