Itqualityassurance
Comment extraire un champ de Splunk?
Accédez à l'extracteur de champ de la boîte de dialogue All Fields
Pour obtenir l'ensemble complet de types de source dans votre déploiement Splunk, accédez à la page Extractions de champ dans les paramètres. Exécutez une recherche qui renvoie les événements. En haut de la barre latérale des champs, cliquez sur tous les champs. Dans la boîte de dialogue All Fields, cliquez sur Extraire de nouveaux champs.
Comment extraire un champ?
Extraire un champ en place
Appuyez sur Ctrl + Alt + F ou dans le menu principal, sélectionnez Refactor | Champ d'extrait. Sélectionnez une expression que vous souhaitez introduire comme champ. Si Intellij Idea détecte plus d'une occurrence dans votre code, il vous permet de spécifier quels événements pour remplacer.
Qu'est-ce que Splunk _raw?
_cru. Le champ _RAW contient les données brutes d'origine d'un événement. La commande de recherche utilise les données dans _RAW lors de l'exécution de recherches et d'extraction de données. Vous ne pouvez pas toujours rechercher directement sur les valeurs de _raw, mais vous pouvez filtrer sur _raw avec des commandes comme regex ou trier .
