那些遇到过的问题

如何在Splunk中转义值?

Ste*_*unn 8 splunk

Splunk最佳实践说使用键/值对.它还表示如果值包含空格,则将值包装在引号中.所以,假设我有一个原始值Fred Smith:

my_key=name my_value="Fred Smith"
Run Code Online (Sandbox Code Playgroud)

没关系,我已经添加了引号.但是,如果我有一个原始值" Fred Smith"(注意已经存在的引号和开头存在空格)怎么办- 这会产生:

my_key=name my_value="" Fred Smith""
Run Code Online (Sandbox Code Playgroud)

这将被视为:

my_key=name my_value=""
my_key=Fred my_value=Smith""
Run Code Online (Sandbox Code Playgroud)

在Splunk值中转义引号的最佳做法是什么?

hal*_*000 7

如果您控制数据格式,您的选项包括:

  • 在所有内容周围添加单引号.
  • 使用双引号,但使用反斜杠转义内部引号
  • 使用JSON表示数据而不是KV对的扁平字符串.JSON语法处理此引用案例(不添加额外的引号),如果需要,还可以添加嵌套结构.

您可以通过设置来控制搜索时字段提取行为KV_MODE.你可能会发现这样auto_escaped做会有所帮助.请参阅Splunk Knowledge Manager手册中的搜索时间数据设置KV_MODE.

归档时间:

查看次数:

8344 次

最近记录:

10 年,5 月 前
相关归档
返回Python中Splunk搜索的错误数 6
如何在python splunk查询中规避100个条目的限制 5
Splunk:从 JSON 结构中提取元素作为单独的字段 5
如何在 Splunk 中计算精确的第 99.9 个百分位 4
fluent-bit 如何向发送到 splunk 的每个事件消息添加自定义元数据 3
如何在 Windows 上为 Python 3.7 安装 Splunklib? 3
如何安装 Splunk Mint Gradle 插件? 2
什么是Splunk架构? 1
以当地时间显示 Splunk 时间表 1
R的Splunk查询语言 0
难疑归档
如何使用JavaScript复制到剪贴板? 3131
什么是JSONP,为什么创建它? 2040
如何知道对象在Python中是否具有属性 1491
重写System.Object.GetHashCode的最佳算法是什么? 1389
用于更新和删除的HTTP状态代码? 1264
感叹号在功能之前做了什么? 1190
创建一个带参数的Bash别名? 1164
获取对象类型的名称 1159
SQL仅选择列上具有最大值的行 1142
在Python中将两个列表转换为字典 1101