使用splunk找出巨大的日志语句
Find out huge log statementsusing splunk
我有一个现有的应用程序,其中有多个应用程序流。
所有流都是 JMS 消息流 - 不同系统交换队列消息。
我想从日志中找出巨大的记录器语句——大约有 10 多行。
我尝试了什么 - 我尝试使用模式选项卡,其中 splunk 告诉我们什么是重复模式。
我擅长重复模式 - 但我想找出尺寸巨大的记录器语句。
所以 - 是否有可能找出 longer/bigger
这样的日志语句
提前致谢
Splunk 有一个名为“linecount”的 built-in 字段,它应该可以满足您的需求。
index=foo
| where linecount > 10
您还可以使用 len 函数查找事件的大小。
index=foo
| eval size=len(_raw)
| where size > 5000
请注意,Splunk 默认将大型事件截断为 10,000 个字符,尽管可以通过 TRUNCATE = <n> 在 props.conf 中更改该设置。
我有一个现有的应用程序,其中有多个应用程序流。
所有流都是 JMS 消息流 - 不同系统交换队列消息。
我想从日志中找出巨大的记录器语句——大约有 10 多行。
我尝试了什么 - 我尝试使用模式选项卡,其中 splunk 告诉我们什么是重复模式。
我擅长重复模式 - 但我想找出尺寸巨大的记录器语句。
所以 - 是否有可能找出 longer/bigger
这样的日志语句提前致谢
Splunk 有一个名为“linecount”的 built-in 字段,它应该可以满足您的需求。
index=foo
| where linecount > 10
您还可以使用 len 函数查找事件的大小。
index=foo
| eval size=len(_raw)
| where size > 5000
请注意,Splunk 默认将大型事件截断为 10,000 个字符,尽管可以通过 TRUNCATE = <n> 在 props.conf 中更改该设置。