Splunk 从源中提取字段
Splunk extract fields from source
我的日志条目都包含如下源文件:
/openshift/{openshift_container_id}/{openshift_container_name}/{openshift_image_name}/{openshift_pod_name}/{openshift_namespace}.{docker_stream}
是否可以将部分日志源作为字段?
如何做到这一点?
rex field=source "/openshift/(?<openshift_container_id>[^/]+)/(?<openshift_container_name>[^/]+)/(?<openshift_image_name>[^/]+)/(?<openshift_pod_name>[^/]+)/(?<openshift_namespace>[^\.]+)\.(?<docker_stream>.*)"
您可以使用rex命令使用正则表达式从其他字段中提取字段
我的日志条目都包含如下源文件:
/openshift/{openshift_container_id}/{openshift_container_name}/{openshift_image_name}/{openshift_pod_name}/{openshift_namespace}.{docker_stream}
是否可以将部分日志源作为字段? 如何做到这一点?
rex field=source "/openshift/(?<openshift_container_id>[^/]+)/(?<openshift_container_name>[^/]+)/(?<openshift_image_name>[^/]+)/(?<openshift_pod_name>[^/]+)/(?<openshift_namespace>[^\.]+)\.(?<docker_stream>.*)"
您可以使用rex命令使用正则表达式从其他字段中提取字段