splunk - Splunk 从源中提取字段
问题描述
我的日志条目都有一个源文件,例如:
/openshift/{openshift_container_id}/{openshift_container_name}/{openshift_image_name}/{openshift_pod_name}/{openshift_namespace}.{docker_stream}
是否可以将部分日志源作为字段?如何才能做到这一点?
解决方案
rex field=source "/openshift/(?<openshift_container_id>[^/]+)/(?<openshift_container_name>[^/]+)/(?<openshift_image_name>[^/]+)/(?<openshift_pod_name>[^/]+)/(?<openshift_namespace>[^\.]+)\.(?<docker_stream>.*)"
您可以使用该rex命令使用正则表达式从其他字段中提取字段
推荐阅读
- ubuntu - 服务器在域的 Ubuntu EC2 实例上返回错误 NXDOMAIN
- web-services - “失踪
- python - 如何从二维数组中选择值并添加到另一个二维数组 python
- c# - 如何在不删除现有信息的情况下写入 CSV 文件?
- html - 如何在 Eclipse 中为另一个文件夹中的文件添加 href 链接?
- python-3.x - 如何绘制 sklearn 的 GridSearchCV 结果与参数?
- javascript - Gulp 4,在调用 watch 之前任务不执行
- sql - 使用多个条件“标记”记录
- azure - 将现有 Azure Function 的托管操作系统从 Windows 更改为 Linux
- python - 拖放时从 QListWidget 中删除项目