在Splunk搜索查询中如何检查日志消息是否有文本?
日志消息:
message: 2018-09-21T07:15:28,458+0000 comp=hub-lora-ingestor-0 [vert.x-eventloop-thread-0] INFO com.nsc.iot.hono.receiver.HonoReceiver - Connected successfully, creating telemetry consumer ...
我想检查消息是否包含“连接成功,创建遥测消费者...”并基于此想要将 1 或 0 分配给变量
Splunk 搜索查询
(index="05c48b55-c9aa-4743-aa4b-c0ec618691dd" ("Retry connecting in 1000ms ..." OR "Connect or create consumer failed with exception" OR "Connected successfully, creating telemetry consumer ..."))
| rex field=_raw ^(?:[^ \n]* ){7}(?P<success_status_message>\w+\s+\w+,\s+\w+\s+\w+\s+\w+)"
| timechart count as status | eval status=if(isnull(success_status_message), 0, 1)
success_status_message 始终为 null
我对 Splunk 非常陌生,基本上已经陷入了困境!对语言也很陌生,所以下面的任何帮助和提示都会很棒。
我想要得到的结果是加入查询并获取用户名、ID 和登录次数。
查询来自 diff 源、源类型和主机。
查询 1 是用户名和 ID,查询 2 是用户名和登录次数。
查询1:userName=” ”entityNumber=” ” | eval 用户名=upper(用户名) | 重复数据删除用户名、实体编号 | 将用户名重命名为 User | 表用户,实体编号
查询2:“登录成功。” | rex field=_raw "用户[\":] (?[^\"IP] )"| 评估用户=上层(用户)| 表用户 | 按用户统计计数
在此先感谢您的帮助。J
splunk splunk-query splunk-calculation splunk-formula splunk-sdk
有谁知道如何准确计算Splunk中的99.9%?
我尝试了如下各种方法,例如exactperc(但这只需要整数百分位数)和perc(但这非常接近结果)。
base | stats exactperc99(latency) as "99th Percentile", p99.9(latency) as "99.9th Percentile"
谢谢,詹姆斯