需要一些帮助来生成适当的Spunk查询.我正在寻找这个,但无法提出解决方案.
目前,我想忽略为只有ev31 = error的日志生成的所有错误警报; 术语.如果我们使用NOT ev31 = error ; 在搜索查询中,它还会删除带有效错误条款的结果.因此,如果日志包含错误和ev31 = 错误,则当前查询将失败; 术语导致错误的结果.
任何人都可以建议一个示例查询,我们可以忽略ev31 = 错误 ; 完全使用术语但保留带有错误术语的日志.
regex splunk
regex ×1
splunk ×1