はい
あなたはこのようなソースフィールドから日付を抽出します。
| rex field=source "(?<date>\d\d\d\d\.\d\d\.\d\d)"
次に、このようなイベントから時間が抽出されます:
| rex field=_raw "(?<time>\d\d:\d\d:\d\d)"
次に、このように一つのフィールドにフィールドを結合します。
| eval datetimestamp=date." ".time
次に、このようなフィールドdatetimestampを表示します。
| table datetimestamp
この検索で終わるだろう。
...
| rex field=source "(?<date>\d\d\d\d\.\d\d\.\d\d)"
| rex field=_raw "(?<time>\d\d:\d\d:\d\d)"
| eval datetimestamp=date." ".time
| table datetimestamp
あなたはprops.confで同じ抽出を行うことができます。
EXTRACT-date = "(?<date>\d\d\d\d\.\d\d\.\d\d)" in source
EXTRACT-time = "(?<time>\d\d:\d\d:\d\d)" in _raw
はい
あなたはこのようなソースフィールドから日付を抽出します。
| rex field=source "(?<date>\d\d\d\d\.\d\d\.\d\d)"
次に、このようなイベントから時間が抽出されます:
| rex field=_raw "(?<time>\d\d:\d\d:\d\d)"
次に、このように一つのフィールドにフィールドを結合します。
| eval datetimestamp=date." ".time
次に、このようなフィールドdatetimestampを表示します。
| table datetimestamp
この検索で終わるだろう。
...
| rex field=source "(?<date>\d\d\d\d\.\d\d\.\d\d)"
| rex field=_raw "(?<time>\d\d:\d\d:\d\d)"
| eval datetimestamp=date." ".time
| table datetimestamp
あなたはprops.confで同じ抽出を行うことができます。
EXTRACT-date = "(?<date>\d\d\d\d\.\d\d\.\d\d)" in source
EXTRACT-time = "(?<time>\d\d:\d\d:\d\d)" in _raw