Splunk: Попытка объединить два поиска, чтобы я мог создать разделители и отформатировать как новую таблицу

Question

Я все еще очень новичок в Splunk, но достаточно научился создавать отчеты, используя опцию «Извлечение полей» и регулярные выражения / разделители, чтобы позволить мне создавать пользовательские извлечения для таблиц, из которых я могу создавать отчеты.

Сейчас я пытаюсь создать отчет для нашей службы продаж, чтобы информировать его, когда пользователь в основном использует процесс, который он не должен выполнять через нашу систему, но у меня возникают проблемы при составлении отчетов о них должным образом. Я пытался использовать поиск с помощью оператора OR, чтобы попытаться присоединиться к поискам, которые я получаю, но я заметил, что поля, из которых я извлекаю дублирующую информацию, и таблицы не соединяются должным образом.

Ниже приведен пример двух разных поисков, к которым я присоединяюсь, чтобы я мог получить следующий результат после создания извлеченных полей

_Date / Time и _Raw уже заданы, и я знаю, как использовать извлечения и операторы «AS» для переименования моих извлеченных полей, если это необходимо. Я буду выполнять "-_Raw", так как настраиваемые отчеты и предупреждения не будут нужны конечной стороне.

| _Date / Time | Corp_acct_nbr | LoginId | Заказанный продукт | _Raw

Ниже приведены два моих запроса, которые мне нужны для "Присоединения"

Поиск 1:

2019-03-29 08: 07: 14,833 [http-bio-8081-exec-21] INFO {requestId = 4e639bde-5234-11e9-9dc1-0050568edf8a, sessionId = dbe4a47e-522f-11e9-9dc1-0050568edf8a, loginId = bconnell, ipAddress = 192.168.103.205} cnurwfRequestContextFilter.doFilter: 67 - Запрос / AccountService / биллинг / account / 3410061 / заказПлатеж выполнен за 12,880164272 секунд

Поиск 2:

2019-03-29 08: 07: 14,937 [http-bio-8081-exec-22] INFO {requestId = 4e639bde-5234-11e9-9dc1-0050568edf8a, sessionId = dbe4a47e-522f-11e9-9dc1-0050568edf8a, loginId = bconnell , ipAddress = 192.168.103.205} cpRechargeEvent.createInvoice: 1263 - ssnID ssnType <2> Добавлен hmItem в order.getHM: Пользователь аналитики $ 5

оба имеют хост ace02b-s01.nextiva.zone

Мой желаемый результат будет

| _Date / Time | Corp_acct_nbr | LoginId | Заказанный продукт | 08:07:14 3410061 bconnell Analytics User $ 5

Я выделил курсивом поля выше. Я считаю, что могу присоединиться к ним по идентификатору запроса, так как транзакция всегда будет уникальной. Любая помощь с благодарностью

Answer 1

Вы захотите использовать команду транзакции в своем поиске, у нас есть примеров в наших документах.

Ваш поиск будет выглядеть примерно так: "... | transaction requestId maxspan=60s maxpause=5s". Это «объединит» каждое событие с тем же значением для requestId в одно событие, которое затем можно будет ввести в команды table или fields, чтобы удалить ненужные поля.