Igen, természetesen a Splunk ezt is tudja. Nem a legideálisabb ugyan a search time field extraction, de ha nincs más út, akkor a rex parancs használható itt is. A rex utasítás így néz ki:
| rex field=<field_name> "beforepattern(?P<extract_name>field_match)afterpattern"
A <field_name>-el tudjuk megmondani, hogy melyik field-ben keressen.
A beforepattern-el tudjuk definiálni, hogy milyen karaktersorozat utáni részt olvasson ki.
Az <extract_name>-el meg tudjuk adni, hogy a kiolvasott értéket milyen néven mentse el, azt később milyen névvel tudjuk keresni.
Egy példa a parancs használatára:
| rex field=form_data "username=(?P<user>.*?)&.*passwd=(?<password>.*?)&"
Ez a form_data field-ben fog keresni, a "username=" utáni részt fogja elmenenteni "user" field névvel, míg a "passwd=" utáni részt fogja lementeni "password" névvel.
Természetesen ez akár json formátumban és akár "User-Agent" értékek kiolvasására is lehet használni.
Részletek: