我在 Sentinel 中有一個日志源,它在同一日志中以兩種不同的方式分隔資料,例如-和 `$60。
到目前為止,我已經嘗試過:
| extend FieldNameSplit = split(FieldName , '-|$60')
也:
| extend FieldNameSplit = split(FieldName, '-')
| extend FieldNameSplitTwo = split(FieldNameSplit, '$60')
這些方法都沒有被證明是有效的。還有其他想法嗎?
提前感謝您的洞察力!
uj5u.com熱心網友回復:
如果我正確理解您的問題,您可以嘗試使用該extract_all()功能:https : //docs.microsoft.com/en-us/azure/data-explorer/kusto/query/extractallfunction
例如:
print input = "a-b-c$60d-e$60f$60g-h"
| extend output= extract_all(@"([^-(\$60)] )", values)
| 輸入 | 輸出 |
|---|---|
| abc$60de$60f$60gh | [ "a", "b", "c", "d", "e", "f", "g", "h" ] |
uj5u.com熱心網友回復:
就個人而言,我選擇在這種情況下使用 parse-where。
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/348215.html