用于从日志数据中提取字段的 Splunk 查询

Splunk query to extract fields from log data

提问人:Ram 提问时间:10/17/2023 最后编辑:PM 77-1Ram 更新时间:10/20/2023 访问量:31

问:

我的 Splunk 日志类似[user name] [traceid] ldap authentication { “status” : “success” , “username”: “123”} MULTIEXCEPTION some text….

我正在尝试以表格格式给出结果的Splunk查询。有什么查询建议吗?

Status  username 
Success 123
Fail     234
splunk splunk-query

评论

0赞 PM 77-1 10/17/2023
使用 rex 命令提取值。

答:

0赞 RichG 10/17/2023 #1

正如 @PM77-1 所写的,使用该命令从事件中提取字段。然后使用(惊喜! 命令将结果以表格格式显示。rextable

index=foo
``` Extract the status field ```
``` Triple escapes are needed because of multiple layers of processing ```
| rex "status\\\"\s*:\s*\\\"(?<status>[^\\\"]+)"
``` Extract the username field using a separate command for order-independence ```
| rex "username\\\"\s*:\s*\\\"(?<username>[^\\\"]+)"
| table status username

上一个:如何在 Splunk 查询中提取字母数字字段并以表格形式列出它们

下一个:Splunk:按多个字段计数给出错误的结果 [已关闭]