如何将xml日志转换为Splunk中的表格输出

Question

我是splunk的新手，并试图将xml日志数据转换为splunk并创建报告。
我有xml数据被送入splunk服务器。下面是数据的格式时遇到

<str name=size>3.32mb</str>

我想提取这个细节，这个转变中的表格。像下面 Size | 3.32mb

我看了一些关于xmlkv但我认为它适用于像<size>3.32mb</size> XML数据，但我不知道这将如何对我的要求工作。

任何人都可以请帮我理解这一点，也指导我实现这一点。

在此先感谢。

Answer 1

假设你的XML数据是在一个名为“XML”字段中，可以提取出你想要的这个：

xpath outfield=name field=xml "//str/@name" | spath input=xml output=sizeval path=str | fields name, sizeval 

查看关于XPath和SPATH在Splunk的帮助下 - 的例子是不够好，引导您。