根据日志条目中的数值过滤 Splunk 结果
Filtering Splunk results based on a numerical value in the log entry
我们有一个按以下方式生成日志的应用程序:
task1: spend 51milliseconds
task2: spend 40milliseconds
task3: spend 30milliseconds
task1: spend 101milliseconds
我们想过滤 Splunk 结果,使其只显示花费超过 100 毫秒的日志条目。
最好的方法是什么?
这个有效:
| rex "spend (?<timespent>.*)milliseconds" |WHERE timespent>100
试试,(假设字段名是log)
通过排除第一个数字来选择 3 个数字值 - 如果它是 0
| regex log="spend [1-9]{1}[0-9]{2}milliseconds"| table log
或尝试
这也将包括超过 3 个数字的值
| regex log="spend [1-9]{1}\d\d+milliseconds"| table log
我们有一个按以下方式生成日志的应用程序:
task1: spend 51milliseconds
task2: spend 40milliseconds
task3: spend 30milliseconds
task1: spend 101milliseconds
我们想过滤 Splunk 结果,使其只显示花费超过 100 毫秒的日志条目。
最好的方法是什么?
这个有效:
| rex "spend (?<timespent>.*)milliseconds" |WHERE timespent>100
试试,(假设字段名是log)
通过排除第一个数字来选择 3 个数字值 - 如果它是 0
| regex log="spend [1-9]{1}[0-9]{2}milliseconds"| table log
或尝试
这也将包括超过 3 个数字的值
| regex log="spend [1-9]{1}\d\d+milliseconds"| table log