今天有个需求输出的结果是:
想取出以 "/" 为分隔符的 输出:
举个例子:
原来的SPL:
index=abc "Path"="/china/shanghai/newcity/zone"
| table Path
想等到的效果是:
newcity给取出来。
解决方法是:
index=abc "Path"="/china/shanghai/newcity/zone"
| table Path
| uniq
|rex field=Path "/china/shanghai/(?<extractWord>.*?)/zone/*"
当然上面的 extractWord 是可以name 成: "ABC" 或者是你想命名的名字。
2: 当然还有有种方法就是创建一个字段:
参考:Splunk系列:Splunk字段提取篇(三)_splunk正则表达式提取字段_Bypass--的博客-CSDN博客
可以提取并且创建一个字段,然后就可以 | table filed_name 来输出了,这种方法的局限性就是这个字段要设置为全局,其它人才可以访问。