splunk - Splunk:在索引期间格式化 csv 文件,值被视为新列?
问题描述
我试图在索引期间创建一个新字段,但是当我尝试连接时,这些字段变成了列而不是值。我究竟做错了什么 ?我查看了文档,似乎根据..
将不胜感激这方面的一些帮助。
例如
.csv 文件
**Header1**, **Header2**
Value1 ,121244
转换.config
[test_transformstanza]
SOURCE_KEY = fields:Header1,Header2
REGEX =^(\w+\s+)(\d+)
FORMAT =
testresult::$1.$2
WRITE_META = true
字段.config
[testresult]
INDEXED = True
正则表达式很好,从数据中创建了两个组,但为什么它创建一个新字段而不是将值分配给 result?。如果我要这样做......testresult::$1或者testresult::$2它工作正常,但是在连接时它会创建多个标题,其值为 headername。有没有更简单的方法来连接字段,例如,如果你有一个带有标题名称的 csv 文件,你可以不引用标题名称吗?(我知道如何使用计算字段来做这些,但想在索引期间做)
谢谢