Question

У меня есть события в моих журналах, которые выглядят как

{
     linesPerSec:    1694.67    
     message:    Status:    
     rowCount:   35600000   
     severity:   info
}

, когда я делаю поиск вроде:

index="apps"  app="my-api" message="*Status:*" | table  _time,  linesPerSec, rowCount

Вот как моя таблица выглядит как

Как получить числовое значение от ключа для linesPerSec и rowCount?Я хочу видеть все случаи.Я пытался использовать значения (linesPerSec), но это, казалось, собирало только уникальные.

Спасибо,

Nate

CoffeePeddlerIntern · Answer 1 · 06 июля 2019

Ответ с объяснением можно найти здесь: https://answers.splunk.com/answers/756524/extracting-values-for-table.html

RichG · Answer 2 · 03 июля 2019

Это ваш полный запрос?Вы упоминаете, что используете values(), но в вашем поиске нет команды stats.Кстати, values() отображает уникальные значения;используйте list(), чтобы увидеть их все.

Возможно, вы сможете использовать extract для получения чисел, но я думаю, rex будет работать лучше.Попробуйте этот поиск:

index="apps"  app="my-api" message="*Status:*" 
| rex "linesPerSec:\s+(?<linesPerSec>\d+\.\d+)" 
| rex "rowCount:\s+(?<rowCount>\d+)" 
| table  _time,  linesPerSec, rowCount

Splunk: извлечение значений для таблицы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk: извлечение значений для таблицы

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы