如何使用REX命令提取splunk中的多个字段?

问题描述 投票:0回答:1

我希望能够使用rex提取splunk中的多个字段,但是我只能提取3个字段,然后它停止工作。例如:

rex field=_raw "(?<email>\w+);(?<OrderNumber>\w+);(?<shippingStreet>\w+)" 

上面的表达式在splunk中显示了3个新字段,这是完美的!但是,只要我再添加一个字段,它就什么也不显示。 rex是否有3个字段的限制?

splunk
1个回答
0
投票

@ Papaya2226您是否尝试过max_match命令的rex选项?使用:max_match=0

© www.soinside.com 2019 - 2024. All rights reserved.