一、简介Splunk是一个强大的搜索分析引擎,字段是splunk搜索的基础,因此提取有效字段非常重要。当Spklunk开始执行搜索时,它会查找数据中的字段。与预定义提取指定字段不同,Splunk可以通过用户自定义的方式从原始数据中动态提取字段。在这里,我们演示如何使用Splunk提取字段。2、字段提取器Splunk提供了一种非常简单的字段提取方法,那就是使用字段提取器,即使你完全不懂正则表达式,也可以轻松完成字段提取。2.1访问字段提取器进行事件搜索,在左侧栏下,点击Extractnewfield,进入字段提取器。2.2选择示例在事件列表中,选择一个需要提取字段的示例事件。2.3选择方法提供了两种字段提取方法:正则表达式和定界符。正则表达式主要用于非结构化数据;对于基于表格的结构化数据,使用分隔符。2.4选择字段选择要从字段中提取的值,下面会出现一个对话框来命名字段。一般我们也可以手动编辑正则表达式来进行调整。2.5通过预览确认事件列表匹配的节目,2.6保存这一步可以设置提取名称和权限,点击完成保存提取。3、新增字段提取SplunkWeb中提供了一种快速设置字段提取的方法。只需要提供一个正则表达式,就可以直接完成新字段的提取。3.1新字段抽取(1)设置→字段抽取→新字段抽取设置名称,sourcetype,编写正则表达式,点击保存。3.2查看字段抽取规则在字段抽取页面,搜索关键词找到刚才设置的字段抽取规则。4、使用搜索命令提取字段通过搜索命令以不同的方式提取字段,如rex、extract、xpath等,但这种方式只适用于搜索过程中返回的中间结果,不能通过创建复用新领域。sourcetype="secure-2"端口“密码失败”|rexfield=_raw"(?P
