Regex в Splunk Log для поиска

Question

У меня есть журналы Splunk, запись которых выглядит следующим образом:

15/01/2020
10:34:29.076    
{ [-]
   app_module: testmodule
   environment: XXXX
   level:  INFO
   logger_name:                      project.stats
   message: Query execution time: [1222] app ID: [TEST] for user: [jhhsakjhsa]
   thread_name:    catalina-exec-371
   timestamp: 2020-01-15T05:04:29,076
   x-request-id: hdkhwqkjdhwqhdwqdo908109328182eh
}
Show as raw text
host = <host>,worker, Splunk--idx-d-i-0xssaxx4d0f95a8timestamp = 2020-01-15T05:04:29,076 

Мне нужно сделать запрос, где время выполнения запроса в 4 цифры. У нас есть время выполнения запроса в виде оператора журнала в поле сообщения в расширенном журнале ( Время выполнения запроса: [1222] )

Что будет запросом для того же.

Answer 1

Следующее создаст новое поле с именем query_exec_time

rex field=_raw "Query execution time: \[(?<query_exec_time>\d+)\]"

Таким образом, ваш поиск может выглядеть следующим образом

index=<...> | rex field=_raw "Query execution time: \[(?<query_exec_time>\d+)\]" | where query_exec_time > 999

В качестве альтернативы, вы также можете использовать regex

index=<...> | regex _raw="Query execution time: \[\d{4})\]"