Splunk：提取 table 的值

Question

我的日志中有类似

的事件

{
     linesPerSec:    1694.67    
     message:    Status:    
     rowCount:   35600000   
     severity:   info
}

当我进行如下搜索时：

index="apps"  app="my-api" message="*Status:*" | table  _time,  linesPerSec, rowCount

这就是我的 table 最终的样子

如何从 linesPerSec 和 rowCount 的键中获取数字值？我想查看所有实例。我尝试使用 values(linesPerSec) 但这似乎只聚合了唯一的。

谢谢，

内特

Answer 1

这是您的完整查询吗？您提到使用 values()，但您的搜索中没有 stats 命令。顺便说一句，values() 显示唯一值；使用 list() 查看全部。

您可以使用 extract 来获取数字，但我认为 rex 会更好。试试这个搜索：

index="apps"  app="my-api" message="*Status:*" 
| rex "linesPerSec:\s+(?<linesPerSec>\d+\.\d+)" 
| rex "rowCount:\s+(?<rowCount>\d+)" 
| table  _time,  linesPerSec, rowCount

Answer 2

可以在此处找到带解释的答案：https://answers.splunk.com/answers/756524/extracting-values-for-table.html

Splunk：提取 table 的值

Splunk: Extracting values for table

search

splunk

splunk-query