在尝试使用rex作为splunk搜索的一部分时,我有一个正常的表达式,工作正常:
eventtype=my_type | rex field=_raw ".*\[(?<foo>.*?)\].*" | table _time, foo
但是当我尝试将搜索保存到仪表板表时,我收到以下错误:
在第29行解析XML时出错:标记表单第1行中的数据提前结束
我知道我的查询很好,因为当我在将其添加到仪表板表时单击“运行搜索”按钮时,我得到了有效的结果。但是当我点击保存按钮时,我得到了上述错误。
我怀疑regular expression中的命名组捕获正在抛弃XML解析器。
如何将带有名称捕获的rex正则表达式用作仪表板查询的一部分?
提前感谢您的考虑和回应。
要使用命名组捕获,您必须用<和>替换尖括号:
... | rex field=_raw ".*\[(?<foo>.*?)\].*" | ...