Splunk：如何从日志消息中提取多个字段？

Question

我已将这些日志摄入到 splunk 中。

App worker stopped working. Extra details: Sat Aug 12 04:30:01 UTC 2023 ip-10-161-187-81.abc.non.c1.abc.com svc-app-default

我可以从日志消息中提取这些字段并构建仪表板吗？

Answer 1

您可以使用正则表达式命名组提取多个字段。您可以调整正则表达式，但这可以让您了解如何将这三条信息提取到字段

msg

、

date

和

code

:

| rex field=_raw "(?<msg>[^\.]+)\. Extra details: \w{3} (?<date>\w{3} \d{2} \d+:\d+:\d+ \w+ \d{4}) .* (?<code>.*)"

然后，您可以使用

stats

获取要在小部件中显示的不同值的计数，作为过滤的输入呈现，并使用

timechart

在仪表板小部件中绘制随时间变化的出现次数。