Splunk查询2条日志语句的时间差

Splunk query for time difference between 2 log statements

我有 2 种记录消息 ID 的方法。第一种方法是 JMS 生产者,第二种方法是 JMS 消费者。当消息在队列中的时间很长时,我需要打印在队列中超过 20 秒的消息 ID。

 Log statements:

JMSProducer: MessageId=123
JMSProducer: MessageId=456

JMSConsumer: MessageId=123
JMSConsumer: MessageId=456

使用他们被记录的时间戳,我需要 运行 一份报告给我大于 20 秒的时间戳差异。

如何为其编写 Splunk 查询?

输出应该是消息 ID 和以毫秒或秒为单位的时间戳差异。

使用transaction将两个日志消息绑定在一起,它会给你一个持续时间字段。

在此搜索 | transaction MessageId | where duration > 20 | 其他操作如统计