一、簡單概述

Splunk 是一款功能強大的搜尋和分析引擎，而欄位是splunk搜尋的基礎，提取出有效的欄位就很重要。

當Spklunk開始執行搜尋時，會查詢資料中的欄位。與預定義提取指定欄位不同，Splunk可以通過使用者自定義從原始資料中動態提取欄位。

這裡，我們演示一下如何利用Splunk來提取欄位。

二、欄位提取器

Splunk提供了一種非常簡單的方式來提取欄位，就是使用欄位提取器，即使在你完全不瞭解正則表示式的情況下，也可以輕鬆完成欄位提取。

2.1 訪問欄位提取器
執行事件搜尋，左邊欄往下，單擊提取新欄位，進入欄位提取器。

2.2 選擇示例
在事件列表中，選擇一個需要進行欄位提取的示例事件。

2.3 選擇方法
提供了兩種欄位提取的方法：正則表示式和分隔符。正則表示式主要用於非結構化資料；而基於表格的結構化資料，使用分隔符即可。

2.4 選擇欄位
選擇需要欄位提取的值，下面會出現對話方塊，對欄位名稱進行命名。一般我們也可手動編輯正則表示式進行調整。

2.5 驗證
通過預覽，以確認事件列表的匹配程式，

2.6 儲存

在這一步，可以對提取名稱和許可權進行設定，點選完成來儲存提取。

三、新欄位提取

在Splunk Web中，提供了一種快速設定欄位提取的方式，只需提供正則表示式，就可以直接完成新欄位提取。

3.1 新欄位提取

（1）設定→ 欄位提取→新欄位提取

設定名稱、sourcetype，寫入正則表示式，點選儲存即可。

3.2 檢視欄位提取規則

在欄位提取頁面中，搜尋關鍵詞，可找到剛才設定的欄位提取規則。

四、使用搜索命令提取欄位

通過搜尋命令以不同方式提取欄位，如rex、extract、xpath等。但這種方式僅適用於搜尋過程中的返回的中間結果，無法新建欄位重複使用。

sourcetype="secure-2" port  "failed password"| rex field=_raw "(?P<user>\w+)\sfrom\s(?P<ip>[^ ]+)"| top user,ip