仪表板中的 Splunk 提取字段
Splunk extracted field in dashboard
我正在向 splunk 发送一些数据,如下所示:
"Start|timestamp:1552607877702|type:counter|metricName:cache|count:34488378|End"
然后使用正则表达式提取字段:
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":"
提取后,我可以在"INTERESTING FIELDS"下看到字段(type、metricName、count)。如何在仪表板中使用这些字段?
谢谢
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by metricName
或
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by type
或者
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | table type, metricName, count
应该都给你一个table,也可以用可视化表示。您可以将其中任何事件或原始事件保存为仪表板面板。
如果您看到 "Selected fields" 或 "Interesting fields" 列表中列出的字段,则表示 Splunk 已提取它们并使它们可供使用。通过在 SPL 命令中按名称提及它们来使用它们,例如 table type, metricName, count 或 stats max(count) by metricName。一旦你有了字段,剩下的就是你的想象力(以及 SPL 的规则)。
我正在向 splunk 发送一些数据,如下所示:
"Start|timestamp:1552607877702|type:counter|metricName:cache|count:34488378|End"
然后使用正则表达式提取字段:
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":"
提取后,我可以在"INTERESTING FIELDS"下看到字段(type、metricName、count)。如何在仪表板中使用这些字段?
谢谢
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by metricName
或
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by type
或者
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | table type, metricName, count
应该都给你一个table,也可以用可视化表示。您可以将其中任何事件或原始事件保存为仪表板面板。
如果您看到 "Selected fields" 或 "Interesting fields" 列表中列出的字段,则表示 Splunk 已提取它们并使它们可供使用。通过在 SPL 命令中按名称提及它们来使用它们,例如 table type, metricName, count 或 stats max(count) by metricName。一旦你有了字段,剩下的就是你的想象力(以及 SPL 的规则)。