2018-06-20T00:04:35.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\documents.db
2018-06-20T00:07:16.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:21.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
2018-06-20T00:07:26.000+00:00 (980) WAL Autocheckpointing, name=C:\Program
Files\PriceService\data\store-promotions.db
Я пытался правильно выполнить свой splunk-запрос, чтобы разделить это одно событие на несколько событий, но по какой-то причине я не могу правильно выполнить свой запрос.
Я попытался разбить на новую строку, но набор результатов не изменился. Из чтения в Интернете я понял, что должен использовать что-то вроде
myQuery | rex field=_raw "\[(?P<field1>...).*[\r\n]"
Извиняюсь кстати. Моя игра с регулярными выражениями не сильна.
[, если ваши данные его не содержат? Кроме того, почему бы тогда просто не использоватьrex field=_raw ".+"?.+соответствует любому 1+ символу, кроме новой строки. - person Wiktor Stribiżew schedule 20.06.2018