如何在splunk中提取字段值_Splunk

如何在splunk中提取字段值

如何在splunk中提取字段值,splunk,Splunk,如何使用rex field=\u raw提取Splunk中的字段值 logAlias=total | logDurationMillis=1298 | logTimeStart=2019-10-15(u 00:01:12.821 | logTimeStop=2019-10-15)UniqueId=8aa984556db09592016dcd93b5a708ee 路径：/var/opt/pivotal/logs 日志文件：file.log Splunk查询： index=main source=“

如何使用rex field=\u raw提取Splunk中的字段值

logAlias=total | logDurationMillis=1298 | logTimeStart=2019-10-15(u 00:01:12.821 | logTimeStop=2019-10-15)UniqueId=8aa984556db09592016dcd93b5a708ee

路径：/var/opt/pivotal/logs 日志文件：file.log

Splunk查询：

index=main source=“/var/opt/pivotal/logs/file.log*”
|rex字段=_原始“logDurationMillis=（？\d+）
|其中numbr>950
|统计计数（numbr）为FailedFraudAPITxns

您似乎已经回答了自己的问题。如果查询有什么问题的话？您的示例中不存在

后面的空格<代码>字段=_raw实际上不需要，因为它是默认值。好眼力！！=谢谢@PM77-1之后有一个额外的空格