我有一个杂音查询( index = sat sourcetype =“ sat_logs” Message =“ 为该应用程序发布的应用程序消息” ),该查询返回不同应用程序发布的消息列表。我需要从消息中提取特定的字段值。请让我知道查询以获取预期的结果。谢谢
Splunk查询结果: 消息:为用户ID发布的Alpha应用程序消息:12345678,UID:92345678,日期:2019-10-04,消息:{“ Application”:“ Alpha”,“ ID”:“ 123”}
Message:针对UserId:12345670发布的Beta应用程序消息,UID:92345670,日期:2019-10-03,消息:{“ Application”:“ Beta”,“ ID”:“ 623”}
消息:为用户ID发布的Zeta应用程序消息:12345677,UID:92345677,日期:2019-10-02,消息:{“ Application”:“ Zeta”,“ ID”:“ 523”}
要提取并显示为表格的预期字段
应用程序用户ID UID ID 阿尔法12345678 92345678 123
测试版12345670 92345670 623
Zeta 12345677 92345677 523
答案 0 :(得分:0)
metrics命令可以为您完成此任务。假设字段总是相同的顺序,那么就可以完成这项工作。
rex