pea*_*mit 7 regex splunk
需要一些帮助来生成适当的Spunk查询.我正在寻找这个,但无法提出解决方案.
目前,我想忽略为只有ev31 = error的日志生成的所有错误警报; 术语.如果我们使用NOT ev31 = error ; 在搜索查询中,它还会删除带有效错误条款的结果.因此,如果日志包含错误和ev31 = 错误,则当前查询将失败; 术语导致错误的结果.
任何人都可以建议一个示例查询,我们可以忽略ev31 = 错误 ; 完全使用术语但保留带有错误术语的日志.
Sha*_*eel 11
尝试在引号中包含您要忽略的字符串,这样您的搜索可能会像 index=myIndex NOT "ev31=error"
index=myIndex NOT "ev31=error"
归档时间:
11 年,10 月 前
查看次数:
16423 次
最近记录: