splunk - 在 Splunk 中搜索具有动态值的字符串
问题描述
我有这样的数据splunk:
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 3/XYZ/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 4/AHJGS/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 3/AJJ/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 6/XYZ/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 3/XYZ/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 6/123/true/false
DEBUG demp.find - [Local-Log] Parameters name/city/isActive/: 3/HJG/true/false
我想从值是动态的splunk查询中得到这个结果name,之后我不关心任何事情
喜欢:Parameters name/city/isActive/: {regex here to get name value}并将其保存在新值中以供用户进一步使用。请指导我。
谢谢
解决方案
rex field=_raw "Parameters name/city/isActive/:(?<all>(?<part1>.*)/(?<part2>.*)/(?<part3>.*)/(?<part4>.*))"
推荐阅读
- javascript - Javascript - 计算提交中连续单词的所有组合
- mysql - 从 Docker 容器运行 Spring Boot 应用程序时出错
- php - 从字符串的末尾开始,一旦到达字符组的第一次出现,如何停止捕获?
- azure - Azure 数据工厂与 App Insight
- python - 元素不可点击,因为另一个元素在 python 中隐藏了它
- debugging - 使用调试器从应用程序中删除函数调用
- python - python中如何弹出消息不干扰后续进程?
- database - 如果结果没有在客户端存根处解包,RPC 模型会发生什么?
- android - 在回收站视图中保留编辑文本
- c++ - VS2017:支持 WinXP 的增强二进制文件?