Команда Splunk rex с фигурными скобками, круглыми скобками, точкой и кавычками

Question

У меня проблемы с командой rex на splunk.Мой запрос выводит следующее.

{"(001) NULL.COUNT (1) .NUMBER": "12345"}

Я хочу извлечь толькозначение 12345, но на данный момент у меня ниже rex команда, которая возвращает «{"(001) NULL.COUNT(1).NUMBER": "12345"}».

| rex field=_transfers "(001) NULL.COUNT(1).NUMBER": "(?<value>.*)"

Answer 1

Кавычки должны быть экранированы в команде rex.Кроме того, скобки в строках регулярных выражений должны быть экранированы, если они не являются частью группы захвата.Попробуйте | rex field=_transfers "\\(001) NULL.COUNT\\(1).NUMBER\\": \\"(?<value>.*)".