Я пытаюсь откорректировать корреляционные идентификаторы, которые будут иметь разные уникальные номера в каждой транзакции.Я использую приведенный ниже запрос, но он не выбирает правильное значение (идентификатор корреляции),
Запрос Splunk: timeformat = "% d /% m /% Y% H:% M:% S" самое раннее = "28 /03/2019 15:38:08 "latest =" 28/03/2019 18:08:08 "host =" splunk-max-tk.global.com.local: 9090 "" correlationid_test1234 "" поток запросов лямбда запускается "ИЛИ«Лямбда-поток ответов заканчивается» |rex field = _raw "2019 * (?. *?)" |где isnotnull (correlationId) |транзакция correlationId setsWith = "лямбда-поток запросов запускается" заканчивается "=" лямбда-поток ответов заканчивается "|dedup correlationId
Splunk LOGS: 28/03/2019 18: 08: 03.748
2019-03-28T18: 08: 03.748402 + 11: 00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init * 1007.py 187] лямбда-поток запросов начинается
2019-03-28T18: 08: 05.129540 + 11: 00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init .py 187] лямбда-поток ответов заканчивается