Как построить поисковый запрос Splunk?

Question

Я новичок в Splunk. Следовательно, мне потребуется некоторая поддержка для создания поискового запроса.

Ниже показано, как печатается мой журнал:

[181] xxxx-xx-xx xx: xx: xx INFO (много текста) RITM1234 :: FAILED BECAUSE ROOT CAUSE :: Ticket было добавлено, но не было действительной учетной записи с именем XYZ для пользователя

[181] xxxx-xx-xx xx: xx: xx ИНФОРМАЦИЯ (много текста) RITM1234 :::: FAILED, потому что :: Account XYZ неверно для пользователя 1234. Не закрывает заявку.

Я хотел бы получить вывод в формате ниже таблицы:

RITM | App | user | Error

RITM1234 | XYZ | 1234 | Билет был добавлен, но не было действующей учетной записи с именем XYZ для пользователя

Answer 1

Следующая команда извлечет важные поля из события. Он просто использует регулярные выражения для разбивки события.

rex field=_raw "RITM (?<RITM>\d+):+(?<msg>[^:]+)+:+(?<root_cause>[^:]+)"

Как только это будет сделано, вы можете извлечь имя пользователя следующим образом, опять же используя регулярные выражения

rex field=root_cause "(named|user) (?<username>\S+)"

* 1006 вместе с таблицей должно получиться примерно следующее

rex field=_raw "RITM (?<RITM>\d+):+(?<msg>[^:]+)+:+(?<root_cause>[^:]+)" | rex field=root_cause "(named|user) (?<username>\S+)" | table RITM, username, root_cause