Splunk извлекает поля из источника

Question

У меня есть записи в журнале, все из которых имеют исходный файл, например:

/ openshift / {openshift_container_id} / {openshift_container_name} / {openshift_image_name} / {openshift_pod_name} / {openshift_namespace}. {Docker_stream}

Можно ли иметь части источника журнала в виде полей? Как это можно сделать?

Answer 1

rex field=source "/openshift/(?<openshift_container_id>[^/]+)/(?<openshift_container_name>[^/]+)/(?<openshift_image_name>[^/]+)/(?<openshift_pod_name>[^/]+)/(?<openshift_namespace>[^\.]+)\.(?<docker_stream>.*)"

Вы можете использовать команду rex для извлечения полей из других полей с помощью регулярных выражений