我希望能够使用rex提取splunk中的多个字段,但是我只能提取3个字段,然后它停止工作。一个示例是:
rex field=_raw "(?<email>\w+);(?<OrderNumber>\w+);(?<shippingStreet>\w+)"
上面的表达式在splunk中显示了3个新字段,这是完美的!但是,只要我再添加一个字段,它就什么也不显示。 rex是否有3个字段的限制?
答案 0 :(得分:0)
@木瓜2226
您是否尝试过max_match命令的rex选项?
使用:max_match=0
https://docs.splunk.com/Documentation/Splunk/7.3.2/SearchReference/Rex#Usage