组合Splunk Rex查询

Question

我希望组合和操作从单独的日志记录实例中提取的两个字段。我使用rex命令进行提取。

然而，从阅读文档来看，似乎不可能组合成匹配不同行的单独的rex命令。

例如：

假设我记录了这一行：Timestamp Caller foo bar <DATA> blah blah。使用rex，我可以像rex field=log "foo bar (?<DATA>\d{1,6}).*一样简单地获取<DATA>字段。(请注意，它是数字数据)。

现在，我将另一条线路记录为Timestamp Caller baz qux <DATA2> blah blah。同样，我可以以rex field=log "baz qux (?<DATA2>\d{1,6}).*的身份获取<DATA2>。

问题是我想量化<DATA>和<DATA2>之间的关系。

如何运行一个查询来捕获出现在单独日志记录行中的两个数据点？

注意:相关的How can I combine 2 queries in Splunk问题并不相关，因为这些问题中的数据要么显示在同一行中，要么没有显式地使用rex。

Answer 1

大多数Splunk命令一次只能操作一个事件。不可能让单个rex命令处理多个事件。(操作多个事件的命令是聚合命令，如stats)。