Regex 在splunk中使用正则表达式提取数据_Regex_Rex

Regex 在splunk中使用正则表达式提取数据

regex

Regex 在splunk中使用正则表达式提取数据,regex,rex,Regex,Rex,我的数据是“{\'data\”：{\'correlation\u id:“51g0d88f-3ab8-4om-betb-b31ed6e1662z\”，“u\u originator\u uri”，我想将correlation\u id的值提取为CorrelationId4最好使用JSON解析器轻松提取字段，例如JSON.parse（\u raw）.data.correlation\u id将返回correlation\u id的值我没有要测试的splunk，但是如果您想将rex splunk命

我的数据是

“{\'data\”：{\'correlation\u id:“51g0d88f-3ab8-4om-betb-b31ed6e1662z\”，“u\u originator\u uri”

，我想将correlation\u id的值提取为CorrelationId4

最好使用JSON解析器轻松提取字段，例如

JSON.parse（\u raw）.data.correlation\u id

将返回

correlation\u id

的值

我没有要测试的splunk，但是如果您想将rex splunk命令与正则表达式一起使用，请尝试以下操作：

rex field=_raw "correlation_id:.\"(?<CorrelationId4>.*?).\""

rex字段=\u原始“相关性\u id:.\”（？*？）。\“”

详细说明位于

的文档最好使用JSON解析器轻松提取字段，例如

JSON.parse（_raw）.data.correlation\u id

将返回

correlation\u id

的值。我希望splunk query提取数据。由于我具有用户角色，因此无法提取json格式的数据。将

correlation\u id作为CorrelationId4

是什么意思？我想提取correlation\u id的值并将其保存到字段CorrelationId4i我尝试了splunk query b但它并没有赋予价值