1,index=mtparam sourcetype=MT_BASERV_HEALTH
| rex field=_raw "baserv UID ===> (?<hostname>\S+)"
| search hostname=HIWMESCBETA02
| rex field=_raw "baserv Category ===> (?<category>\S+)"
| eval category=replace(category, "^/HIROSHIMA/.../MFG/", "")
| rex field=_raw "DSS Avg Utilization ===> (?<util>\d+)"
| timechart avg(util) by category useother=false
解释:index:索引
sourcetype:source的类型
rex:提取命令
执行使用Perl正则表达式命名的组的字段提取
Sed:也可以通过 Sed 表达式替换或取代字段中的字符。
regex :将删除与指定正则表达式不匹配的结果
(?<name>) 分组起别名
rex field=_raw "baserv UID ===> (?<hostname>\S+)" 作用就是匹配正则,并把匹配的内容作为新的field,名为hostname。 \S:匹配任何非空白字符,+:匹配前一个字符出现1次或者无限次,即至少有1次
eval 评估命令。
该eval命令计算一个表达式并将结果值放入搜索结果字段
如果您指定的字段名称与输出中的字段不匹配,则将新字段添加到搜索结果中。 如果您指定的字段名称与搜索结果中已经存在的字段名称匹配,则eval表达式的结果将覆盖该字段中的值。
原文:https://www.cnblogs.com/wssongyue/p/13255206.html