需要在Splunk中创建一个嵌套表或具有多个列的表
问题描述 投票:0回答:1
我有一个有效的Splunk搜索,该搜索从日志记录语句中的xml文件中提取数据。搜索将创建一个包含14列的表。下面是创建此表的查询
<sourcetype and other data>..| xmlkv | rex max_match=0 "\<ns2\:numberCode\>(?P<location>[^\<]+)"| eval Segment1_Origin = mvindex(location, 7), Segment1_Destination = mvindex(location, 8), Segment2_Origin = mvindex(location, 10), Segment2_Destination = mvindex(location, 11), Segment3_Origin = mvindex(location, 13), Segment3_Destination = mvindex(location, 14) | rex max_match=0 "\<carrier\>(?P<carrier>[^\<]+)" | eval Segment1_Carrier = mvindex(carrier, 0), Segment2_Carrier = mvindex(carrier, 1), Segment3_Carrier = mvindex(carrier, 2) | rex max_match=0 "\<billingMethod\>(?P<billingMethod>[^\<]+)" | eval Segment1_BillingMethod = mvindex(billingMethod, 0), Segment2_BillingMethod = mvindex(billingMethod, 1), Segment3_BillingMethod = mvindex(billingMethod, 2) | table purchCostReference, eventType, Segment1_Carrier, Segment1_BillingMethod, Segment1_Origin, Segment1_Destination, Segment2_Carrier, Segment2_BillingMethod, Segment2_Origin, Segment2_Destination, Segment3_Carrier, Segment3_BillingMethod, Segment3_Origin, Segment3_Destination | sort purchCostReference, eventType
该表如下所示(由于大小,未显示所有列):
我希望表格以某种方式将表格嵌套在细分中。
或类似这样:
Splunk中的这些表设计之一吗?
1个回答
0
投票
投票
这就是我创建表的第二个实例的方式。添加了一个时间字段。使用这些命令,我解析了xml
中所需的值sourcetype... |xmlkv | rex max_match=0 "\<purchasedCostTripSegment\>(?P<segment>[^\<]+)" |eval Segments = mvrange(1,mvcount(mvindex(segment, 0, 2))+1,1) | rex max_match=0 "\<carrier\>(?P<Carriers>[^\<]+)" | rex max_match=0 "\<billingMethod\>(?P<BillingMethod>[^\<]+)" | rex max_match=0 "<purchasedCostTripSegment>[\s\S]*?<origin>\s*<ns2:numberCode>(?P<Origin>\d+)" | rex max_match=0 "<purchasedCostTripSegment>[\s\S]*?<destination>\s*<ns2:numberCode>(?P<Destination>\d+)" | eval Time =_time | convert timeformat="%m-%d-%Y %H:%M:%S" ctime(Time) | table purchCostReference, eventType, Time, Segments, Carriers, BillingMethod, Origin, Destination | sort - Time
最新问题
- 如何以非交互方式将较早的提交移动到第一个提交?
- 剧作家Python:expect(locator).to_be_visible() vs locator.wait_for()
- 如何在 Telegram Bot 中等待用户的回复?
- Vulkan 软件渲染?
- 使用单个脚本动态执行多个DDL语句?
- 如果双大括号 {{key:value}} 之间存在冒号字符,则使用正则表达式查找匹配项
- 如何设置你的React环境
- 如何使我的 Tkinter 应用程序适合整个窗口,无论大小如何?
- 小地图片段未显示先前活动的位置
- 为什么我的api数据只显示一次,刷新页面就报错
- 需要修改输出
- 如何在 PostgreSQL 中获取不同城市的最新日期
- 领域驱动设计中的 CQRS 实现中用于命令/查询的单独应用程序服务?
- 如何为仅支持iOS 17+的应用程序获取5.5英寸屏幕截图
- Three.js png 纹理 - alpha 渲染为白色而不是透明
- 类型“未知”不可分配给 Typescript 中的类型
- 如何改进此滑块的导航(导航和自动播放出现问题)?
- 如何切换/折叠 javascript 元素(我想默认折叠 html)
- 在 Quickblox 上删除用户时出现错误
- 无法调用“java.awt.Graphics.setColor(java.awt.Color)”,因为“g”为空
© www.soinside.com 2019 - 2024. All rights reserved.