Это может быть действительно простой вопрос, но я пока не могу найти ответа. У меня есть необработанные данные о некоторых событиях, например «(продолжительность 5555 мс)», и я хочу поместить их в «| timechart span = 1m count by duration», чтобы создать диаграмму, которая показывает, когда эти события имели место, и их общее количество продолжительность. В настоящее время поле для продолжительности не настроено, это просто необработанные данные. Как мне внести эти числа в свою временную диаграмму?
Как переместить необработанные данные в Splunk без поля, назначенного таблице?
Ответы (1)
Сначала вам нужно будет извлечь значение продолжительности в поле. Скорее всего, вы будете использовать функцию regex (rex) для это.
Точная команда, которая вам нужна, будет во многом зависеть от ваших данных. Но для вашего примера «(продолжительность 5555 мс)» это должно работать, если значение всегда в мс.
| rex field=_raw "\(duration (?<duration>\d+)ms.*"
person
Alec Collier
schedule
22.01.2018
Спасибо, это сработало!
- person Cdhippen; 22.01.2018
