Question

Мои файлы журналов регистрируют кучу сообщений в одном и том же экземпляре, поэтому простой поиск идентификатора сообщения с последующим подсчетом не будет работать (я буду считать только 1 за событие, когда хочу подсчитать до 50 за событие),Я хочу сначала сузить свой поиск до событий, которые показывают отправленные сообщения («в очереди»), а затем подсчитать все экземпляры строки «mid».

Есть идеи?Я очень плохо с спленком.Как получить, чтобы все экземпляры "mid" были счетным полем?

index=* service=myservice "enqueued" "mid" | stats count mid

RichG · Answer 1 · 25 апреля 2018

Ваш текущий поиск не работает, потому что у вас (вероятно) нет поля с именем 'mid'.
Для поиска строк в событии вы можете использовать rex. Попробуйте это.

index=* service=myservice "enqueued" "mid" | rex max_match=0 "(?<mids>mid)" | eval midCount=mvcount(mids) | table midCount

Кстати, "index = *" - плохая практика. Это заставляет Splunk искать в каждом индексе, что действительно замедляет работу. После первого поиска вы должны знать и использовать реальное индексное имя.

Splunk: Получить количество всех вхождений строки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk: Получить количество всех вхождений строки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы