Splunk search bunch of Strings and display table of _raw

Question

Я хочу найти набор строк, используя OR (любой лучший способ оценивается). Есть ли способ присвоить имя строкам.

index = blah host = 123 "ERROR" ("FILE1" ИЛИ "FILE2" ИЛИ "FILE3") | rex field = _raw ". errorDesc \": \ "(?) \", \ "errorCode. *" | таблица _time RESP_JSON

Теперь, я хочу добавить имя файла как другой столбец в таблице. Если файла нет показывать пустые значения для остальных столбцов

Примечание: имя_файла не является полем, его просто строка в поле _raw

Splunk ::

[12 /12/2015:12:12:12.123] ОШИБКА возникла при обработке FILE1. errorDesc ":" {поле: 123, код: 124} "," errorCode
[12/12/2015: 13: 13: 12.123] ОШИБКА произошла при обработке FILE3. errorDesc ":" {поле: 125, код: 124} "" ERRORCODE

например Выход:

файла ------------------ -_time ----------------------- RESP_JSON

FILE1 ----- 12/12/2015: 12: 12: 12.123 - --- {поле: 123, код: 124}

ФАЙЛ2

file3 ----- 12/12/2015: 13: 13: 12,123 ----- {поле: 125, код: 124}

Нет Запись в журнале Файл2 нет, поэтому пустая строка с только файл Имя отображается

Answer 1

Пытались у ниже, чтобы извлечь имя файла?

index=blah host=123 "ERROR" ("FILE1" OR "FILE2" OR "FILE3") | rex field=_raw "(?<filename>). errorDesc" | table _time RESP_JSON filename 

Что касается первого вопроса об именовании терминов поиска, вы просматривали макросы или использовали подходы с поиском?

Answer 2

Дайте этот выстрел:

index=blah host=123 "ERROR" ("FILE1" OR "FILE2" OR "FILE3") | rex "processing\s+(?<filename>[^\.]+)\.\s+" | table _time RESP_JSON filename 

Это же поиск, как указано выше, только другой экстракцию регулярного выражения.