Splunk查询2条日志语句的时间差
Splunk query for time difference between 2 log statements
我有 2 种记录消息 ID 的方法。第一种方法是 JMS 生产者,第二种方法是 JMS 消费者。当消息在队列中的时间很长时,我需要打印在队列中超过 20 秒的消息 ID。
Log statements:
JMSProducer: MessageId=123
JMSProducer: MessageId=456
JMSConsumer: MessageId=123
JMSConsumer: MessageId=456
使用他们被记录的时间戳,我需要 运行 一份报告给我大于 20 秒的时间戳差异。
如何为其编写 Splunk 查询?
输出应该是消息 ID 和以毫秒或秒为单位的时间戳差异。
使用transaction将两个日志消息绑定在一起,它会给你一个持续时间字段。
在此搜索 | transaction MessageId | where duration > 20 |
其他操作如统计
我有 2 种记录消息 ID 的方法。第一种方法是 JMS 生产者,第二种方法是 JMS 消费者。当消息在队列中的时间很长时,我需要打印在队列中超过 20 秒的消息 ID。
Log statements:
JMSProducer: MessageId=123
JMSProducer: MessageId=456
JMSConsumer: MessageId=123
JMSConsumer: MessageId=456
使用他们被记录的时间戳,我需要 运行 一份报告给我大于 20 秒的时间戳差异。
如何为其编写 Splunk 查询?
输出应该是消息 ID 和以毫秒或秒为单位的时间戳差异。
使用transaction将两个日志消息绑定在一起,它会给你一个持续时间字段。
在此搜索 | transaction MessageId | where duration > 20 |
其他操作如统计