在 Splunk 仪表板查询中使用带有 rex 的命名组捕获?
Using Named Group Capture With rex In a Splunk Dashboard Query?
在尝试使用 rex 作为 splunk 搜索的一部分时,我有一个工作正常的正则表达式:
eventtype=my_type | rex field=_raw ".*\[(?<foo>.*?)\].*" | table _time, foo
但是当我尝试将搜索保存到仪表板时 table 我收到以下错误:
Error parsing XML on line 29: Premature end of data in tag form line 1
我知道我的查询没有问题,因为当我在将它添加到仪表板时单击 "Run Search" 按钮时 table 我得到了一个有效结果。但是当我点击保存按钮时,我得到了上面的错误。
我怀疑 regular expression 中的命名组捕获正在抛出 XML 解析器。
如何在仪表板查询中使用带有名称捕获的 rex 正则表达式?
提前感谢您的考虑和回复。
要使用命名组捕获,您必须将尖括号替换为 < 和 >:
... | rex field=_raw ".*\[(?<foo>.*?)\].*" | ...
在尝试使用 rex 作为 splunk 搜索的一部分时,我有一个工作正常的正则表达式:
eventtype=my_type | rex field=_raw ".*\[(?<foo>.*?)\].*" | table _time, foo
但是当我尝试将搜索保存到仪表板时 table 我收到以下错误:
Error parsing XML on line 29: Premature end of data in tag form line 1
我知道我的查询没有问题,因为当我在将它添加到仪表板时单击 "Run Search" 按钮时 table 我得到了一个有效结果。但是当我点击保存按钮时,我得到了上面的错误。
我怀疑 regular expression 中的命名组捕获正在抛出 XML 解析器。
如何在仪表板查询中使用带有名称捕获的 rex 正则表达式?
提前感谢您的考虑和回复。
要使用命名组捕获,您必须将尖括号替换为 < 和 >:
... | rex field=_raw ".*\[(?<foo>.*?)\].*" | ...