サーチ時フィールド抽出の正規表現では日本語を使っても問題ありませんが、以下の注意事項があります。
サーチ時フィールド抽出を定義した props.conf ファイルは、UTF-8 で保存する必要があります。
また、props.conf.spec のコメントにも記載されていますが、regex 部分は日本語を使っても良いが、
src_field 部分は英数文字(a-z, A-Z, and 0-9)しか使えません。
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf
EXTRACT-<name> = [<regex>|<regex> in <src_field>]
...
* NOTE: <src_field> can only contain alphanumeric characters (a-z, A-Z, and 0-9).
...
サーチ時フィールド抽出の正規表現では日本語を使っても問題ありませんが、以下の注意事項があります。
サーチ時フィールド抽出を定義した props.conf ファイルは、UTF-8 で保存する必要があります。
また、props.conf.spec のコメントにも記載されていますが、regex 部分は日本語を使っても良いが、
src_field 部分は英数文字(a-z, A-Z, and 0-9)しか使えません。
http://docs.splunk.com/Documentation/Splunk/latest/Admin/Propsconf
EXTRACT-<name> = [<regex>|<regex> in <src_field>]
...
* NOTE: <src_field> can only contain alphanumeric characters (a-z, A-Z, and 0-9).
...