问题描述
我的挥霍结果如下:
9/1/20
5:00:14.487 PM
2020-09-01 16:00:14.487,'TOTALITEMS'="Number of items registered in the last 2 hours ",COUNT(*)="1339"
我正在尝试列出最后用引号引起来的数字。
index=my_db sourcetype=no_of_items_registered source=P_No_of_items_registered_2hours | rex field=_raw "\"Number of items registered in the last 2 hours \",COUNT(\*)=\"(?P<itm_ct>\d+)\"$" | table itm_ct
这将显示一个没有任何数字的空白表格。但是,表中的行数与事件数匹配。
非常感谢任何帮助
解决方法
正则表达式与示例数据不匹配。文字括号必须在正则表达式中转义。试试这个:
index=my_db sourcetype=no_of_items_registered source=P_No_of_items_registered_2hours
| rex "COUNT\(\*\)="(?<itm_ct>\d+)" | table itm_c