Использование раздельного запроса для фильтрации записей с использованием NOT и IN.Например, index = *, type = *, NOT сообщение IN ("error1", "error2")
Но есть несколько случаев, когда сообщение не имеет error1 или error2, вместо этого оно имеет неожиданную ошибку,но внутренне он все еще выдает error1 или error2, как я могу настроить это предупреждение.
index = *, type= *, NOT message IN ("error1","error2")
Я ожидаю, что splunk должен показывать только подлинные сообщения об ошибках, а не те, которые имеют основную ошибку1 или ошибку2.