Search Splunk：提取表的值_Search_Splunk_Splunk Query

Search Splunk：提取表的值

Search Splunk：提取表的值,search,splunk,splunk-query,Search,Splunk,Splunk Query,我的日志中有如下事件 { linesPerSec: 1694.67 message: Status: rowCount: 35600000 severity: info } 当我进行如下搜索时： index="apps" app="my-api" message="*Status:*" | table _time, linesPerSec, rowCount 这就是我的桌子最终的样子如何从lin

我的日志中有如下事件

{
     linesPerSec:    1694.67    
     message:    Status:    
     rowCount:   35600000   
     severity:   info
}

当我进行如下搜索时：

index="apps"  app="my-api" message="*Status:*" | table  _time,  linesPerSec, rowCount

这就是我的桌子最终的样子

如何从linesPerSec和rowCount的键中获取数值？我想查看所有实例。我尝试使用值（linesPerSec），但这似乎只是唯一的聚合

谢谢

Nate这是你的全部问题吗？您提到使用

values（）

，但在搜索中没有

stats

命令。顺便说一句，

values（）

显示唯一的值；使用

list（）
您可以使用extract
获取数字，但我认为rex
会更好。尝试此搜索：
index="apps"  app="my-api" message="*Status:*" 
| rex "linesPerSec:\s+(?<linesPerSec>\d+\.\d+)" 
| rex "rowCount:\s+(?<rowCount>\d+)" 
| table  _time,  linesPerSec, rowCount

index=“apps”app=“my api”message=“*状态：”
|rex“linesPerSec:\s+（？\d+\.\d+）
|rex“行计数：\s+（？\d+）
|表_时间、行数、行数
可在此处找到带解释的答案：