我有这样的日志条目:
第一个条目:
"abc","Id":"XYZ12"},{"lat":55},{"lat":45}{"lat":59}
第二个条目:
"abc","Id":"YZA56"},{"lat":23},{"lat":101}
"lat"我现在想要得到的是每个字符串出现的次数Id。
所以最后我想得到这样的统计数据:
Id occurences
XYZ12 3
YZA56 2
我如何在 Splunk 中执行此操作?我会知道如何获取Id然后以此来计算所有事件Id。但当我想做练习时我不知道该怎么做..
有人可以支持这里吗?
我假设没有自动提取任何字段。
使用rex命令提取字段。我们将进行两次提取:一次提取“Id”,另一次提取“lat”。第二种用途max_match=0是允许多次点击。
index=foo
| rex "Id\\\:\\\"(?<Id>[^\\\"]+)"
| rex max_match=0 "lat\\\":(?<lat>\d+)"
| eval occurences=mvcount(lat)
| table Id occurences