当前位置:网站首页>Splunk Filed extraction 字段截取

Splunk Filed extraction 字段截取

2022-08-02 06:50:00 shenghuiping2001

Splunk 有些event 中的字段要进行人为的定义为一个新的字段,就是说在原来的event 里面没有字段,这个可以通过splunk field extraction 来实现:

1: 先去event 里面点: extact fields:

2: 然后点击: Regular expression:

3: 选中event 中的 IP,然后取个名字: sec_ip

4: 看到下面的界面,然后点击下一步

5: 同样的方法:定义一个字段: sec_user

6: 定义好后,测试一下:

7: 可以看到上面图中左边有字段: sec_user, sec_ip 出现了,

参考文档:Extract fields from files with structured data - Splunk Documentation

原网站

版权声明
本文为[shenghuiping2001]所创,转载请带上原文链接,感谢
https://blog.csdn.net/shenghuiping2001/article/details/126095966

边栏推荐

猜你喜欢

随机推荐