Question

Index=* sourcetype="publisher" namespace="app_1" | table ID message | where message="published"


Index=* sourcetype="consumer" namespace="app_1" | table ID message | where message="consumed"

Я хочу отобразить несовпадающий идентификатор, сравнивая оба запроса, как мне этого добиться.

Если запрос 1 дает 100 записей, а запрос 2 дает 90 записей, и все 90 записейприсутствует в запросе 1 их я хочу видеть 10 записей, которых нет в запросе 2.

Simon Duff · Answer 1 · 24 октября 2019

Существует несколько способов достижения этого результата.

Ниже приводится число событий потребителей и производителей для каждого идентификатора, а затем отображаются идентификаторы событий, которые происходят только один раз.

index=* sourcetype="publisher" OR sourcetype="consumer" namespace="app_1" ID="*" | stats count by ID | where count<2

В этом следующем методе мы используем дополнительный поиск и объединение. Это дает вам преимущество, давая вам полное событие, а не только удостоверение личности.

index=* sourcetype="publisher" namespace="app_1" ID="*" | join type=outer ID [ search index=* sourcetype="consumer" namespace="app_1" ID="*" | eval does_match=1 ] | where isnull(does_match)

Splunk-запрос для получения не совпадающего идентификатора из двух запросов

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk-запрос для получения не совпадающего идентификатора из двух запросов

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы