Splunk Rex表达式

Question

我想知道是否有人能帮我。

首先，我对这个看似简单的问题表示歉意，但我真的在努力解决这个问题。

我试图从我的原始数据中提取一个"nino\":\"AB123456A\"格式的nino字段。

今天早上我读了很多教程，但是我仍然找不到这个“Rex”表达式。我只是想知道是否有人能够提供一些关于“Rex”表达式的指导。

Answer 1

搜索命令是正则表达式的缩写(也称为regex或regexp)。

您可以类似于下面的查询，它查看原始的偶数，并尝试解析nino的值

index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)"

如果要确定字段是否已提取，请追加| table nino，您可以在表中轻松验证该字段

index=foo | rex field=_raw "^\"\\w+\\\\\":\\\\\"(?P<nino>[^\\\\]+)" | table nino

我使用野外萃取器生成了正则表达式，这是非常直观的。您可能希望自己进行字段提取，因为您的数据将与您添加的示例不完全相同。理想情况下，您只需要使用字段提取定义一个源类型，这样就不需要使用rex搜索命令了。