Как извлечь значения полей в Splunk, используя поле rex = _raw
logAlias=Overall|logDurationMillis=1298|logTimeStart=2019-10-15_00:01:12.821|logTimeStop=2019-10-15_00:01:14.119|UniqueId=8aa984556db09592016dcd93b5a708ee
Путь: / var / opt / pivotal / logs Файл журнала: file.log
Splunk запрос:
index=main source="/var/opt/pivotal/logs/file.log*"
| rex field=_raw "logDurationMillis= (?<numbr>\d+)"
| where numbr>950
| stats count(numbr) As FailedFraudAPITxns