我有一个非常奇怪的问题,在同一事件中,以下格式的abc =“”和abc =“ qwe123df”的同一字段有两个不同的值。我需要获取第二个值,但是在列出时,第一个值被选择为空。是否有某种方法可以获取该字段的非空值?记住“。”意思是在Splunk中串联。我尝试使用rex但没有运气。
答案 0 :(得分:1)
这是多值的字段吗?如果是这样,您可以使用eval field=mvindex(a.b.c,1)(多个值字段从0开始,因此将获得第二个值)
或者,您可以使用rex仅匹配至少一个字符。
rex field=_raw "a.b.c=\"(?<value>.+)\""