我是斯普伦克的新手。因此,我需要一些支持来构建搜索查询。
以下是我的日志打印方式:
[181]xxxx-xx-xx-xx:xx:xx信息(大量文本(RITM1234::失败,因为根本原因::票证是一个Add,但用户没有名为XYZ的有效帐户
[181]xxxx-xx-xx-xx:xx:xx信息(大量文本(RITM1234::::失败,因为:帐户XYZ对用户1234不正确。不会关闭门票。
我想要下表格式的输出:
RITM|应用程序|用户|错误
RITM1234|XYZ|1234|票证是一个Add,但用户没有名为XYZ的有效帐户
以下命令将从事件中提取重要字段。它只是使用正则表达式来分解事件。
rex field=_raw "RITM (?<RITM>d+):+(?<msg>[^:]+)+:+(?<root_cause>[^:]+)"
完成后,您可以通过以下方式提取用户名,再次使用正则表达式
rex field=root_cause "(named|user) (?<username>S+)"
把所有的东西放在一张桌子上,你应该会得到下面的
rex field=_raw "RITM (?<RITM>d+):+(?<msg>[^:]+)+:+(?<root_cause>[^:]+)" | rex field=root_cause "(named|user) (?<username>S+)" | table RITM, username, root_cause