Splunk:如何从result in splunk中抓取某些部分？

Question

我在splunk search中使用这个查询-

index="some_index" | dedup source | sort -source | dedup sourcetype | table sourcetype, source

我的结果是这样的-

sourcetype                     source
-----------                 --------------

dev_architecture_dev1    /u01/splunk/etc/apps/dev-data/data/dev1/dev1-20150629133045.log
dev_architecture_dev2    /u01/splunk/etc/apps/dev-data/data/dev2/dev2-20150626124438.log

我只想抓取".log“之前的年、月、日、时、分和秒。例如20150629133045。然后在'source‘栏中显示它，如2015-06-29 13:30:45。

有没有办法在Splunk6中做到这一点？

感谢您关注这个问题。希望能得到一些答案。

Answer 1

捕获数据

| rex field=source ".*?(?<dt>\d+)\.log"

解析成时间

| eval dt = strptime(dt, "%Y%m%d%H%M%S")

按您的需要设置格式

| eval dt = strftime(dt, "%Y-%m-%d %H:%M:%S")

输出

| table sourcetype source dt