[Splunk] LineBreaker event 쪼개기

 

 

 

 

아래와 같이 이벤트가 묶여 있다. 이를 라인별로 쪼갤수 있다. 모든행을 클릭하자

 

보는것 처럼 라인별로 잘라진게 보여진다. 

처리가 되었다면 다음을 클릭한다.

 

다음과 같이 입력을 진행한다.

 

인덱서가 있으므로 선택해주고 검토를 눌러 저장한다.

 

아래는 summary 부분이다.

검색을 진행해보자.

 

필드를 나눠서 보자 그럼 아래부분을 클릭해본다.

 

이벤트 작업 → 필드 추출 클릭한다.

 

정규식과 구분자가 있는데 구분자는 쉬우니 정규식 해보자.

콤마로 이루어진 실수 이므로 아래를 참고해서 입력후 미리보기를 눌러보면 sample들이 잘 맞는지 본다.

실수 정규 표현식

^[+-]?\d*(\.?\d*)$

 

^(?<col1>[+-]?\d*(\.?\d*)),(?<col2>[+-]?\d*(\.?\d*)),(?<col3>[+-]?\d*(\.?\d*)),(?<col4>[+-]?\d*(\.?\d*))

 

 

 

아래와 같이 입력하고 마무리 하면 col1, col2, col3로 검색이 가능하다.

 

 

다음과 같이 나온다.