Splunk извлеченное поле в приборной панели

Question

Я отправляю некоторые данные в spunk, которые выглядят так:

"Start|timestamp:1552607877702|type:counter|metricName:cache|count:34488378|End"

И затем извлечение полей с помощью регулярного выражения:

search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":"

После извлечения я вижу поля (type, metricName, count) в разделе "ИНТЕРЕСНЫЕ ПОЛЯ". Как мне использовать эти поля на панели инструментов?

Спасибо

Answer 1

search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by metricName

или

search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by type

Или

search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | table type, metricName, count

все должны дать вам таблицу, которая также может быть представлена ​​в виде визуализации. Вы можете сохранить любое из них или исходные события в виде панели мониторинга.

Answer 2

Если вы видите поле, указанное в списке «Выбранные поля» или «Интересные поля», это означает, что Splunk извлек их и сделал их доступными для использования. Используйте их, упомянув их по имени в команде SPL, такой как table type, metricName, count или stats max(count) by metricName. Если у вас есть поля, все остальное зависит от вашего воображения (и правил SPL).