在splunk中,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则:
index="xxx" source="yyy"
| rex max_match=0 "^(?<lines>.+)\n*"
| mvexpand lines
| table lines
在splunk中,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则:
index="xxx" source="yyy"
| rex max_match=0 "^(?<lines>.+)\n*"
| mvexpand lines
| table lines