Cómo escribir una consulta de Splunk para XML.
<!DOCTYPE EmployeeInventory SYSTEM 'EmployeeInventory.dtd'><EmployeeInventory version="2.0"><ProductInventoryInfo><Product>7781105882846</Product><EmployeeID>12151</EmployeeID><Quantity>28</Quantity><CenterID>167551</CenterID></ProductInventoryInfo></EmployeeInventory>
<!DOCTYPE EmployeeInventory SYSTEM 'EmployeeInventory.dtd'><EmployeeInventory version="2.0"><ProductInventoryInfo><Product>1781305782846</Product><EmployeeID>12152</EmployeeID><Quantity>18</Quantity><CenterID>167552</CenterID></ProductInventoryInfo></EmployeeInventory>
Cómo escribir una consulta de Splunk a partir del registro de Splunk anterior para obtener una tabla como esta.
Producto ID del empleado Cantidad ID del centro
7781105882846 12151 28 167551
1781305782846 12152 18 167552
davy.ai
Para obtener la tabla como se muestra anteriormente desde el XML de registro proporcionado utilizando Splunk, primero necesitamos extraer los campos relevantes del registro. Esto se puede hacer creando una expresión regular que coincida con los valores de campo de Producto, ID de Empleado, Cantidad e ID de Centro del registro.
Primero, necesitamos crear un nuevo índice para el registro y agregar el tipo de fuente específico para el registro. Luego, podemos crear una nueva búsqueda en Splunk con la siguiente consulta:
index="new_index_name" sourcetype="specific_sourcetype_name" | rex field=_raw "<Product>(?<Product>[\d]*)</Product><EmployeeID>(?<EmployeeID>[\d]*)</EmployeeID><Quantity>(?<Quantity>[\d]*)</Quantity><CenterID>(?<CenterID>[\d]*)</CenterID>" | table Product, EmployeeID, Quantity, CenterIDEsta consulta utiliza el comando rex para extraer los valores de campo de Producto, ID de Empleado, Cantidad e ID de Centro, y luego muestra estos campos en un formato tabular utilizando el comando table.
La tabla resultante se verá así: