Splunk:按日志文件中的特定条目分组
Splunk: Group by certain entry in log file
我在 Splunk 中做了这个查询:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" |fillnull
这个查询运行良好。现在,我想通过日志文件中的另一个条目将此结果分组。此条目是 taskType。 taskType 可以是 One、Two 或 Three。 One、Two 或 Three 也是 taskType 之后的条目。
我该怎么做?
将 by clause 添加到您的 timechart:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks
| timechart partial=f span=1h count as "#XYZ doSomeTasks" by taskType
| fillnull
我在 Splunk 中做了这个查询:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" |fillnull
这个查询运行良好。现在,我想通过日志文件中的另一个条目将此结果分组。此条目是 taskType。 taskType 可以是 One、Two 或 Three。 One、Two 或 Three 也是 taskType 之后的条目。
我该怎么做?
将 by clause 添加到您的 timechart:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks
| timechart partial=f span=1h count as "#XYZ doSomeTasks" by taskType
| fillnull