堆栈内存溢出
  繁体   English   中英

如何从 Splunk 中的 JSON 字符串中提取字段

[英]How to extract fields from JSON string in Splunk

 原文  2020-06-02 11:34:43       splunk/ splunk-query

问题描述

搜索后在 Splunk 中,我得到以下结果-

FINISH OnDemandModel - Model: Application:GVAP RequestID:test_manifest_0003 Project:AMPS EMRid:j-XHFRN0A4M3QQ status:success

我想将 Application、RequestID、Project、EMRid 和状态等字段提取为列,并将相应的值提取为这些列的值。

我是 Splunk 的新手,不知道如何使用 spath 或其他搜索命令。

1 个解决方案

解决方案1
 3 已采纳  2020-06-02 12:34:12

使用rex 命令

<search>
rex field=yourfield "Application:(?<application>\w+)\sRequestID:(?<requestid>\w+)\sProject:(?<project>\w+)\sEMRid:(?<emrid>\w+)\sstatus:(?<status>\w+)"

在 regex101.com 微调你的正则表达式

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何从 Splunk 中的 Json 字符串中提取键值字段 无法提取Splunk中的JSON字段 从零件中提取一些字段 json 零件文本登录 Splunk 如何从splunk中的String中提取数据? Splunk 从源中提取字段 如何从 json 数组中提取值并在 Splunk 中验证 Splunk - 正则表达式从源中提取字段 在 splunk 查询中从嵌套的 json 中提取字段 使用 Splunk rex 从日志中提取字符串 从包含 Splunk 字符串的日志文件中提取 5 个字段
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM