Question

У меня есть журнал, который выглядит следующим образом:

msg: time=2017-10-25.15:53:07:827 | msg2=somedata:sometitle[{"key1":"value1","key2":"value2"}]

Я хочу получить значение2 и вот мой дополнительный запрос:

index="some_index" | rex "key2\s*(?<data2>.+)\s*"

вот извлеченный data2: \',\'value2\'\'

Я не мог понять, как исключить косые черты и просто получить значение2.Пожалуйста помоги.спасибо.

RichG · Answer 1 · 23 октября 2018

Вам просто нужно настроить строку регулярных выражений, чтобы пропустить кавычки.

Попробуйте ... | rex field=msg2 "key2\":\"(?<data2>[^\"]+)" | ...

Извлечение данных с использованием rex в splunk добавляет косую черту к данным

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.