Splunk中对字段值内部进行换行

已于 2022-07-06 14:52:45 修改
阅读量903 收藏
点赞数
分类专栏: Splunk 文章标签: splunk 大数据
于 2022-02-28 22:37:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYHuiiQ/article/details/123194117
版权
本文介绍了如何在Splunk中对字段值进行内部换行,以便于在alert email body中以更易读的形式展示key-value拼接的长串信息。提供了使用mode=sed和replace方法实现换行的详细步骤。
摘要由CSDN通过智能技术生成

在splunk中,有时某个字段的值可能是一长串多个具有key-value含义的拼接,但是我们想将这一长串的拼接在值的内部已换行的形式展示出来,比如在alert email body中直接使用该值时,就会以换行的形式展示,便于阅读。下面是两种方法,一种是mode=sed的方式,一种是以replace直接替代为换行的方式。

#case1,假设长串中以分号来连接key-value


| makeresults
| eval name="aaa",age="bbb",address="ccc"
| eval student="Name: ".name.";Age: ".age.";Address:".address
| table student

此时得到的student的结果是:

以分号为分隔符,使用mode=sed的方式进行值内换行:

| makeresults
| eval name=
了解本专栏 订阅专栏 解锁全文 超级会员免费看
QYHuiiQ
关注
专栏目录
订阅专栏
Splunk将一条多行记录拆成多条记录
QYHuiiQ
09-15 752
splunk,有些数据可能是一条记录,但是这条记录存在换行,所以我们想把每一行都拆分成单独的一条数据,使用如下正则: index="xxx" source="yyy" | rex max_match=0 "^(?<lines>.+)\n*" | mvexpand lines | table lines ......
Splunk对于字符串的变量替换为实际的字段
QYHuiiQ
03-06 693
Splunk有些情况下有些字段可能时一长串字符串,但这些字符串包含了一些我们想要替换为实际的变量名,否则你直接在字符串使用变量名,它会把变量名当作字符串来处理。 以下面的测试为例: | makeresults | eval name="Bob",age="13" ```student_info字段包含了$student.name$和$student.age$,两个要替换实际字段,并且它们都含有一定的提取特征,这里的例子就是以$student开头,在不同的case你可以根据自己的业务数
使用SPLUNK进行简单Threat Hunting
weixin_30408165的博客
02-19 487
通过订阅网上公开的恶意ip库(威胁情报),与SIEM平台网络流量日志进行匹配,获得安全事件告警。 比如,这里有一个malware urls数据下载的网站,每天更新一次: https://urlhaus.abuse.ch/browse/ 下载urlhaus里恶意url数据,https://urlhaus.abuse.ch/downloads/text/, 稍微整理一下,做成一个csv格式的文件,方...
Splunksingle value视图使用将数替换为文字
QYHuiiQ
07-06 365
splunk的single value视图,之前我们一直使用的是直接根据来展示颜色,也就是single value用的是什么,那么颜色的设置就是根据这个来显示的,换言之,这个展示的必须是设置颜色规则的。而有些情况下我们可能只想展示一个指标的名称,然后根据这个指标的设置颜色,也就是说将原来展示改为展示指标名称,不展示具体的,但是依然以这个来设置颜色。对于这种案例,我们的实现思路就是还是按照来展示,最后再将这个替换为指标名称(文本)。假设原来的情况是这样的,当grade大于60时显
splunk
Larry的博客
06-07 2428
Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云)生成的快速移动型计算机数据 。从一个位置搜索并分析所有实时和历史数据。 使用 Splunking 处理计算机数据,可让您在几分钟内(而不是几个小时或几天)解决问题和调查安全事件。监视您的端对端基础结构,避免服务性能降低或断。以较低成本满足合规性要求。关联并分析跨越多个系统的复杂事件
Splunk判断某字段是否为空
QYHuiiQ
02-19 955
Splunk有时会需要用到对字段进行判断是否有,这里指的是有或者空白无,不是指的字符串null的判断。 isnull(fieldName) #返回true则表示该字段是空白,无,反之表示有 isnotnull(fieldName) #返回true则表示该字段,非空白,反之表示没有 该布尔的判断可以用在if等boolean类型的引用或| where命令后面,但不可用在| search命令之后,否则不能识别该function。 ......
Splunkevent多字段取特定下标的
QYHuiiQ
12-29 876
Splunk event有的字段可能是有多个,在该字段呈多行展示,如果我们想要取特定下标的,可以使用mvindex函数: index="xxx" | eval total_count=mvindex(count_value, 1) | table total_count #count_value为event 含有多字段,下标从0开始,这里取1表示取count_value的第二个 ......
Splunk Filed Alias 字段改名
shenghuiping2001的专栏
08-01 326
Splunk Filed alias 对字段统一发挥着巨大的作用呢。
splunk 提取字段_Splunk - 用点/句点提取字段(Splunk - extract a field with dot/period)
weixin_39914868的博客
12-22 413
There are several different things going on here.First, No, you cannot create a regex with a dot in the field name being extracted. (tested over at regex101.com, and it doesn't work.)When extracted fr...
Splunk btool 解决实际 字段不匹配的case
最新发布
shenghuiping2001的专栏
04-01 531
Splunk 利用props.conf 和transform.conf 的配置,可以用btool 来列出来。 splunk btool props list --app=ABC --debug
Splunk正则匹配提取字段
QYHuiiQ
12-29 1467
Splunk提取字段可以在extract field提取,但是有时extract太多,就会提示让我们去写正则来提取,也可以直接在spl匹配字段。 以下图的event log为例,提取FIELD_A,FIELD_B,FIELD_C三个字段: index="xxx" source="yyy" ... | rex max_match=0 ".*\s*FIELD_A=\"(?<FIELD_A_NAME>[^\,]*)\".*\s*" | rex max_match=0 ".*\s*FI
Splunk 数据从一个index 进入另外一个index
shenghuiping2001的专栏
02-06 451
这个case 是 计算 有些数据 data_B 在index_A 和index_C 的比例,并且还列出来。
Splunk使用mvexpand mvzip将同一行的多数据拆分成多条数据
QYHuiiQ
06-20 1572
参考:https://community.splunk.com/t5/Splunk-Search/mvexpand-multiple-multi-value-fields/m-p/21970
Splunk系列:Splunk搜索分析篇(四)
03-18 5943
一、简单概述Splunk 平台的核心就是 SPL,即 Splunk 搜索处理语言。它提供了非常强大的能力,通过简单的SPL语句就可以实现对安全分析场景的描述。这里,我们以Linux sec...
splunk学习笔记——正则表达式
热门推荐
Cwiky_1993的博客
05-25 1万+
splunk正则表达式 正则表达式匹配文本字符模式,使用正则表达式的搜索命令包括rex、regex,以及评估函数(例:match、replace)。 splunk正则表达式均为PRCE(Perl兼容正则表达式),且使用PRCE C库。 1 语法和表达关于splunk正则表达式的语法介绍可以参考官方文档《Knowledge Manager Manual》字符类型 组、量词、替
splunk篇3-spl
qq_27886773的博客
01-18 3210
splunk搜索栏编辑spl搜索语句,即可检索出已经配置的数据源内容,右边时间栏是选择数据源的变动时间来检索 以上篇的http为例,当我的数据发送到splunk后,输出source="http:httptest" ,其httptest是我建的http event collector的标记,忘记的可以翻上篇。左侧框的是字段字段就是昨天发送数据的body里面的json内容。字段可以...
sql语句之case函数的用法
belief_009的博客
03-16 4652
简单case函数语法: 是一种多分支的函数,可以根据条件列表的返回多个可能的结果表达式的一个。(类似于if,else) 简单 CASE函数: 计算测试表达式,按从上到下的书写顺序将测试表达式的与每个WHEN子句的简单表达式进行比较。 CASE 测试表达式 WHEN 简单表达式1 THEN 结果表达式1 WHEN 简单表达式2 THEN 结果表达式2 ...... WHEN 简单表达式n THEN 结果表达式n [ ELSE 结果表达式n+1 ] END 简单case函数示例 例1:计算25岁以上和以
ELK日志采集实践
qq_34677946的博客
05-19 652
ELK日志采集设计,核心部分配置,若收集k8s的日志,可以将日志目录挂载到Ceph或者NFS统一的目录,方便收集和管理。kafka集群 部署、ES、Kibana部署。
splunk】用正则表达式提取字段
weixin_34402090的博客
04-20 1856
设input输入数据为 http://192.168.23.121/xxx  想提取出里面的ip,可以用rex source="xxx.csv" |rex field=input "http://(?&lt;ip&gt;\d+\.\d+\.\d+\.\d+)"|fields ip|stats count by ip   语法 rex field=待提取数据的字段 "正则表达式" 注意,正则表达...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QYHuiiQ

听说打赏的人工资翻倍~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值