根据日志条目中的数值过滤 Splunk 结果

Filtering Splunk results based on a numerical value in the log entry

我们有一个按以下方式生成日志的应用程序:

task1: spend 51milliseconds
task2: spend 40milliseconds
task3: spend 30milliseconds
task1: spend 101milliseconds

我们想过滤 Splunk 结果,使其只显示花费超过 100 毫秒的日志条目。

最好的方法是什么?

这个有效:

 | rex "spend (?<timespent>.*)milliseconds" |WHERE timespent>100

试试,(假设字段名是log)

  • 通过排除第一个数字来选择 3 个数字值 - 如果它是 0

    | regex log="spend [1-9]{1}[0-9]{2}milliseconds"| table log

或尝试

  • 这也将包括超过 3 个数字的值

    | regex log="spend [1-9]{1}\d\d+milliseconds"| table log