我登录了Splunk,它包含一条按顺序排列的消息
"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-22"
"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-23"
"message":" ---Abroad country is good COUNTRYID - GERMAN9876-er4-24"
我想在Splunk仪表板中创建一个表,使用Splunk查询查看,这些列列出了所有案例编号和详细信息
COUNTRYID
GERMAN9876-er4-22
GERMAN9876-er4-23
GERMAN9876-er4-24
我对splink很陌生,有人能指导我如何开始建造在哪里寻找东西吗。任何提示或演示都可以。谢谢
您需要使用rex来隔离所需字段:
index=<your search>
| rex ""message":" ---Abroad country is good COUNTRYID - (?<CountryID>[w-]+)""
| table CountryID
以上内容未经测试。