Splunk正则匹配提取字段

已于 2022-07-06 14:56:02 修改
阅读量1.3k 收藏 2
点赞数
分类专栏: Splunk 文章标签: splunk 大数据
于 2021-12-29 20:07:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/122223486
版权

Splunk中提取字段可以在extract field中提取,但是有时extract太多,就会提示让我们去写正则来提取,也可以直接在spl中匹配字段。

以下图中的event log为例,提取FIELD_A,FIELD_B,FIELD_C三个字段:

index="xxx" source="yyy" ...
| rex max_match=0 ".*\s*FIELD_A=\"(?<FIELD_A_NAME>[^\,]*)\".*\s*"
| rex max_match=0 ".*\s*FIELD_B=\"(?<FIELD_B_NAME>[^\,]*)\", FIELD_C.*\s*"
| rex max_match=0 ".*\s*FIELD_C=\"(?<FIELD_C_NAME>[^\,]*)\".*\s*"


#这里的FIELD_A_NAME/FIELD_B_NAME/FIELD_C_NAME表示匹配后提取出来的字段名,一般情况下我们会使之与event中它本身的字段名保持一致。这里在第二层正则中引用了FIELD_C来匹配完善FIELD_B,是因为log中在FIELD_B的值中包含了双引号,会使提取混淆,所以这里将FIELD_C拿过来匹配可以更准确。

QYHuiiQ
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Splunk中使用正则匹配复杂数据格式提取字段
QYHuiiQ
09-15 1099
splunk中有的时候原始数据是没有字段的,但是每条数据中的某些值是有规律的,可以统一提取出来的,对于这种数据的提取,可以使用正则的方式: | makeresults | eval _raw="aaa-bbb,Hello World!,I am a student(my hometown/Fujian Province),1234" | rex field=_raw "(?<field1>[\w+-]*),(?<field2>[!\w+\s+]*),(?<field3&g
splunk 提取字段_Splunk数据处理
weixin_39600616的博客
12-22 1568
0.提要本篇主要从技术层面针对Splunk Enterprise中关于数据处理的概念、过程与部件进行了概要性总结。1.数据管理基本概念索引(index):Splunk用于存储事件的数据仓库;索引服务实例(indexer):管理Splunk索引的(软件部署)实例,同时也可能肩负数据导入处理与执行检索的工作;索引服务集群(indexer cluster):关于Splunk服务实例的复制集形态集群。1....
splunk】用正则表达式提取字段
weixin_34402090的博客
04-20 1824
设input输入数据为 http://192.168.23.121/xxx  想提取出里面的ip,可以用rex source="xxx.csv" |rex field=input "http://(?&lt;ip&gt;\d+\.\d+\.\d+\.\d+)"|fields ip|stats count by ip   语法 rex field=待提取数据的字段 "正则表达式" 注意,正则表达...
Splunk系列:Splunk字段提取篇(三)
03-03 1605
一、简单概述Splunk 是一款功能强大的搜索和分析引擎,而字段splunk搜索的基础,提取出有效的字段就很重要。当Spklunk开始执行搜索时,会查找数据中的字段。与预定义提取指定字段...
splunk 正则表达式的使用
09-29
splunk 正则表达式的使用 如何搜索splunk具体内容
SplunkPull:从 splunk提取数据以用于自动电子邮件程序
06-12
适用于 Java 的 Splunk 软件开发工具包 版本 1.3.2 适用于 Java 的 Splunk 软件开发工具包 (SDK) 包含旨在使开发人员能够使用 Splunk 构建应用程序的库代码和示例。 Splunk一个搜索引擎和分析环境,它使用分布式 map-reduce 架构来高效地索引、搜索和处理大型时变数据集。 Splunk 产品在系统管理员中很受欢迎,用于聚合和监控 IT 机器数据、安全性、合规性和各种其他场景,这些场景共享有效索引、搜索、分析和从大量时间序列生成实时通知的要求数据。 Splunk 开发人员平台使开发人员能够利用 Splunk 产品所使用的相同技术来构建由 Splunk 独特功能支持的激动人心的新应用程序。 适用于 Java 的 Splunk SDK 入门 适用于 Java 的 Splunk SDK 包含库代码和示例,这些示例展示了如何以编程方式与
Splunk查询官方教程_中文
09-02
此外,它还支持时间范围选择、字段提取、正则表达式匹配等功能,使数据分析变得简单高效。 2. **告警**:`Splunk-7.0.0-Alert-告警手册-zh_CN.pdf` 介绍了如何设置告警规则,当特定条件满足时,如数据异常或关键...
Splunk-7.3.0-SearchReference_zh-CN.pdf
09-10
5. **评估函数**:SPL 提供了多种函数来处理和评估数据,如 `eval` 函数用于字段计算,`count` 计算事件数量,`fields` 提取字段,`extract` 用于正则表达式匹配等。 6. **转换函数**:包括 `convert` 函数用于数据...
splunk搜索参考(中文)
09-01
本手册是“搜索处理语言”(SPL) 的参考指导。搜索参考包含带有完整语法、描述和示例的搜索命令目录。此外,本手册还包含有关命令类别的快速参考信息,可与命令一起使用的函数,以及 SPL 与 SQL 之间的关系。
splunk搜索手册(中文)
09-01
splunk搜索手册(中文): 该手册介绍 Splunk 搜索以及如何使用 Splunk 搜索处理语言。 如果您之前未使用过 Splunk Enterprise 和搜索,可以从“搜索教程”开始。搜索教程介绍搜索和报表应用,逐步指导您 添加数据、搜索数据、构建简单报表和仪表板。
Splunk Search Cheatsheet
05-07
- **使用正则表达式提取字段**:如果原始事件中包含“From:Susan To:Bob”,可以使用正则表达式来提取“from”和“to”字段。 ```splunk * | rex field=_raw "From:(?<from>.*)To:(?<to>.*)" ``` #### 转换字段 ...
巧用正则表达式来提取URL中的业务字段
dclingcloud的博客
01-16 5476
版权声明:本文为神州灵云作者的原创文章,未经神州灵云允许不得转载。 本文作者:Joy 正则表达式广泛应用于文本、字符串搜索和替换,其功能非常强大,能够高效的解决很多繁琐且困难的问题。但它并不完美,其最大的缺点就是看上去很难学,让很多对它感兴趣的人,只看它一眼便决定放弃。事实上,这是对它的误解。 正则表达式的基本语法和特殊符号并不多,特别是经常用到的就更少了。就像是了解了“加减乘除”,解出一个“...
splunk 提取字段_Splunk - 用点/句点提取字段(Splunk - extract a field with dot/period)
weixin_39914868的博客
12-22 395
There are several different things going on here.First, No, you cannot create a regex with a dot in the field name being extracted. (tested over at regex101.com, and it doesn't work.)When extracted fr...
splunk学习笔记——正则表达式
热门推荐
Cwiky_1993的博客
05-25 1万+
splunk正则表达式 正则表达式匹配文本字符模式,使用正则表达式的搜索命令包括rex、regex,以及评估函数(例:match、replace)。 splunk正则表达式均为PRCE(Perl兼容正则表达式),且使用PRCE C库。 1 语法和表达关于splunk正则表达式的语法介绍可以参考官方文档《Knowledge Manager Manual》字符类型 组、量词、替
正则表达式提取信息
最新发布
m0_67560813的博客
10-03 664
正则表达式、findall、sub、元字符
Splunk智能运维实战》——1.8 定义字段提取内容
weixin_33753845的博客
05-02 675
本节书摘来自华章计算机《Splunk智能运维实战》一书中的第1章,第1.8节,作者 [美]乔史·戴昆(Josh Diakun),保罗R.约翰逊(Paul R. Johnson),德莱克·默克(Derek Mock),译 宫鑫,康宁,刘法宗 ,更多章节内容可以访问云栖社区“华章计算机”公众号查看。 1.8 定义字段提取内容 Splunk内置了许多功能,能识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值