我们有来自windows azure WADLogs的数据,我导出逗号分隔,最终看起来像这样:
"0635010205200000000","d921c47290f944a69c3394373b5c5988___Pricing.Api___Pricing.Api_IN_0___0000000001652031516___WADLogsLocalQuery",2013-04-08T12:24:04.8000293Z,635010205409475113,"deploymentid","Role","Role_IN_0",5,2,608,3232,"TimeTaken::16043 ms to perform Action::'some action'; TraceSource 'PricingApiTrace' event"
我想提取值为16043的TimeTaken字段和值为'some Action '的Action字段。
我可以改变位开始'"TimeTaken '的格式,如果这会让事情变得更容易,并希望,阅读后::自动创建的字段,使用上面的格式将允许索引自动创建字段,但似乎情况并非如此。
指针吗?
可以创建两个搜索时间字段提取,分别为TimeTaken和Action创建字段。
您需要为每个字段定义一个正则表达式,根据您描述的格式,这应该很简单。