splunk - Splunk - 从搜索结果中提取的数字未显示在表格中

问题描述

我的 splunk 结果如下所示：

9/1/20
5:00:14.487 PM  
2020-09-01 16:00:14.487, 'TOTALITEMS'="Number of items registered in the last 2 hours ", COUNT(*)="1339"

我试图用引号列出最后出现的数字。

index=my_db sourcetype=no_of_items_registered source=P_No_of_items_registered_2hours | rex field=_raw "\"Number of items registered in the last 2 hours \", COUNT(\*)=\"(?P<itm_ct>\d+)\"$" | table itm_ct

这将显示一个没有任何数字的空白表格。然而，表中的行数与事件数相匹配。

非常感谢任何帮助

标签： splunksplunk-query

正则表达式与示例数据不匹配。文字括号必须在正则表达式中转义。尝试这个：

index=my_db sourcetype=no_of_items_registered source=P_No_of_items_registered_2hours 
| rex "COUNT\(\*\)="(?<itm_ct>\d+)" | table itm_c

splunk - Splunk - 从搜索结果中提取的数字未显示在表格中

问题描述

解决方案

推荐阅读