Break event and extract fields from script input

kpavan · ‎05-02-2018

Hi All,

Am getting custom scripted input from one of our app server, but wanted to know understand how to break these events and extract fields for below sample output. Could you please help me to solve this.

Suffix DN : Server : Entries : Replication enabled : DS ID : RS ID : RS Port (1) : M.C. (2) : A.O.M.C. (3) : Security (4)
dc=domain,dc=com : server1.domain.com:PORT : 156827 : true : 23636 : 11208 : 8989 : 0 : : true
dc=domain,dc=com : server2.domain.com:PORT : 156827 : true : 14162 : 7315 : 8989 : 0 : : true
Suffix DN : Server : Entries : Replication enabled : DS ID : RS ID : RS Port (1) : M.C. (2) : A.O.M.C. (3) : Security (4)
dc=domain,dc=com : server1.domain.com:PORT : 156827 : true : 23636 : 11208 : 8989 : 0 : : true
dc=domain,dc=com : server2.domain.com:PORT : 156827 : true : 14162 : 7315 : 8989 : 0 : : true
Suffix DN : Server : Entries : Replication enabled : DS ID : RS ID : RS Port (1) : M.C. (2) : A.O.M.C. (3) : Security (4)
dc=domain,dc=com : server1.domain.com:PORT : 156827 : true : 23636 : 11208 : 8989 : 0 : : true
dc=domain,dc=com : server2.domain.com:PORT : 156827 : true : 14162 : 7315 : 8989 : 0 : : true

Thanks!
Pavan

xpac · ‎05-02-2018

Hey, check these answers, they should be adaptable to your problem:

https://answers.splunk.com/answers/170826/set-delimiter.html

https://answers.splunk.com/answers/627420/how-do-i-load-the-custom-delimited-file-with-heade.html

Break event and extract fields from script input

Enterprise Security Content Update (ESCU) | New Releases

Announcing the 1st Round Champion’s Tribute Winners of the Great Resilience Quest

We’ve Got Education Validation!