Lax*_*ala 3 regex logging splunk
我的示例日志如下所示
fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked
日志模式是"fixed message: {UUID}-{event-type}"
我想捕获总共有多少事件;其中有多少是 event-put、event-keep-alive 和 event-auth_revoked
我可以使用 splunk 查询来捕获上述需求吗?
您可以使用rex来构建字段提取原型,因此您可以先尝试一下
rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"
所以你可以这样做:
搜索词 | rex "fixed message: (?P<UUID>[^-+]-[^-+]-[^-+])-(?P<event>.*)" | stats count by event
然后您可以阅读文档以使其不需要始终在搜索中执行 rex 命令。因此字段提取会自动发生。
| 归档时间: |
|
| 查看次数: |
4161 次 |
| 最近记录: |