Question

Я новичок в spunk и у меня есть некоторые события spunk, как показано ниже

2019-06-26 23:45:36 INFO ID 123456 | Response Code 404 2019-06-26 23:55:36 INFO ID 123456 | Response Code 404 2019-06-26 23:23:36 INFO ID 258080 | Response Code 404

Есть ли способ отфильтровать первые два события, поскольку они имеют одинаковый идентификатор 123456, и просмотреть их как одно событие? Я попробовал что-то, что, как я знаю, совершенно неправильно, предложения могут быть очень полезны в этом.

index=myindex "Response Code 404" | rex field=ID max_match=2 "(?<MyID>\b(?:123456)\b)" | stats count by ID MyID | where count > 1

RichG · Answer 1 · 28 июня 2019

Это не совсем так.Это один из законных способов удаления дубликатов.Вот еще одно:

index=myindex "Response Code 404"  
| rex field=ID max_match=2 "(?<MyID>\b(?:123456)\b)" 
| dedup MyID

Использование dedup часто предпочтительнее, поскольку не удаляет поля, как stats.

Фильтрация повторяющихся записей из событий Splunk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Фильтрация повторяющихся записей из событий Splunk

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы