我希望能够使用rex提取splunk中的多个字段,但是我只能提取3个字段,然后它停止工作。例如:
rex field=_raw "(?<email>\w+);(?<OrderNumber>\w+);(?<shippingStreet>\w+)"
上面的表达式在splunk中显示了3个新字段,这是完美的!但是,只要我再添加一个字段,它就什么也不显示。 rex是否有3个字段的限制?
@ Papaya2226您是否尝试过max_match命令的rex选项?使用:max_match=0
max_match
rex
max_match=0