Splunk 搜索事件日志以查找超过给定阈值的值
Splunk searching event logs to find values exceeding a given threshold
我要搜索日志事件
"Closure request counts: startAssets: "
并查找 startAssets 大于 50 的情况。
我该怎么做?
类似于:
Closure request counts: startAssets: 51
可能会提供类似于
的搜索
"Closure request counts: startAssets: {num} AND num >=50"
也许吧?
在 SPL 中它是什么样子的?
这很简单,但您需要提取数字才能完成。我喜欢使用 rex 命令来做到这一点,但可能还有其他方法。
index=foo "Closure request counts: startAssets: *"
| rex "startAssets: (?<startAssets>\d+)"
| where startAssets > 50
我要搜索日志事件
"Closure request counts: startAssets: "
并查找 startAssets 大于 50 的情况。
我该怎么做?
类似于:
Closure request counts: startAssets: 51
可能会提供类似于
的搜索"Closure request counts: startAssets: {num} AND num >=50"
也许吧?
在 SPL 中它是什么样子的?
这很简单,但您需要提取数字才能完成。我喜欢使用 rex 命令来做到这一点,但可能还有其他方法。
index=foo "Closure request counts: startAssets: *"
| rex "startAssets: (?<startAssets>\d+)"
| where startAssets > 50