Как объединить журналы в постоянную таблицу в Spunk?

Question

Мое веб-приложение регистрирует каждое пользовательское действие.
Каждая запись журнала содержит идентификатор пользователя, действие (щелчок, двойной щелчок и т. Д.), Отметку времени и краткое описание.
Журналы для определенногоПользователь хранится в течение нескольких дней, поэтому мне нужно объединить их в обработанный отчет / данные.
Я хочу собрать (и в конечном итоге отобразить) конкретное действие (скажем, двойной щелчок) каждого пользователя и его описание.

Например, я хочу таблицу, которая обновляется для каждого журнала (или нескольких журналов с некоторой задержкой),
, которая объединяет данные userId, отметку времени всех его двойных щелчков, количестводвойных
кликов и описание для каждого двойного клика.

Как я могу решить эту проблему?
Какие инструменты предлагает Spunk для чего-то вроде агрегирования потоков журналов, которые удаляются?

Answer 1

Splunk - это инструмент, который объединяет потоки журналов. Перенаправьте журналы вашего веб-приложения в Splunk, и они будут оставаться там до тех пор, пока у вас не закончится место на диске или они не устаревают (по умолчанию это 7 лет), даже если исходный источник исчезнет. Получив данные в Splunk, вы можете сообщить о них, как описано.