如何在 Splunk 中转义值?

问题描述 投票:0回答:2

Splunk 最佳实践建议使用键/值对。它还表示如果值包含空格,则将值括在引号中。所以,假设我的原始值为 

Fred Smith
:

my_key=name my_value="Fred Smith"

没关系,我已经添加了引号。但是,如果我有一个原始值 

" Fred Smith"
(注意引号已经存在并且开头存在空格)怎么办 - 这会产生:

my_key=name my_value="" Fred Smith""

这将被视为:

my_key=name my_value=""
my_key=Fred my_value=Smith""

在 Splunk 值中转义引号的最佳实践是什么?

escaping special-characters splunk
2个回答
9
投票

如果您控制数据格式(看起来您确实这样做),您的选项包括:

  • 在所有内容周围添加单引号。
  • 使用双引号,但用反斜杠转义内部双引号
  • 使用 JSON 来表示数据,而不是扁平的 KV 对字符串。 JSON 语法处理这种引用情况(无需添加额外的引号),此外,如果需要,您还可以添加嵌套结构。

您可以通过设置 

KV_MODE
来控制搜索时字段提取行为。您可能会发现 
auto_escaped
就能解决问题。请参阅 Splunk Knowledge Manager 手册中的设置搜索时间数据的 KV_MODE。

0
投票
尝试

"my_value=\"Fred Smith"

。双引号之间的键和值,但实习生双引号带有转义
\"

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.