Splunk rex запрос для фильтрации сообщения

У меня есть журнал splunk в следующем формате:

{"Apple":
    {"message":"abcdefgh.ijkl","code":"200"}
}

Я хочу отфильтровать сообщение «abcdefgh.ijkl» и код отдельно.


splunk rex
person Sateesh M    schedule 20.03.2019    source источник
comment
Итак, что вы пробовали до сих пор?   -  person Kamiccolo    schedule 20.03.2019
comment
rex field = message_text {(\ w +) *: (\ w +) * :(? ‹message› (. *) \ s)   -  person Sateesh M    schedule 20.03.2019
comment
Не могли бы вы быть так любезны и обновить свой вопрос воспроизводимым и проверяемым образом. Как описано в MCVE.   -  person Kamiccolo    schedule 20.03.2019
comment
в журнале, о котором я говорил, будет сообщение_текст: {}   -  person Sateesh M    schedule 20.03.2019
comment
вот как я получаю журнал. message_text: {data: {message: Я разработчик. Живет в Хайдарабаде, код: 200}}   -  person Sateesh M    schedule 20.03.2019

Ответы (1)


arrow_upward
0
arrow_downward

Попробуйте эту rex команду в своем запросе.

... | rex "message\":\"(?<message>[^\"]+)\",\"code\":\"(?<code>\d+)" | ...
person RichG    schedule 20.03.2019