Splunk:正则表达式 - 没有计算事件
Splunk: regex - No events counted
我正在尝试使用正则表达式在特定表达式之后提取一个字段,然后 运行 一个查询,该查询计算满足此条件的事件。我这样做了:
query | rex field=_raw "text: (?<value>\d+)" | timechart partial=f span=5m count as numbers | where value > 3
有些日志条目的值大于 3,但这些事件不计入。我这里做错了什么,为什么没有得到结果?
将你的位置放在你的时间表之前
使用这 8 个事件,我可以 select 那些大于 3 的
source="splunk.txt" host="stack" index="stack" sourcetype="raw_line_break"
| rex "text: (?<value>\d)"
| where value > 3
| timechart partial=f span=5m count as numbers
这 returns 我计数为 2,因为当时只有两个事件 window 大于 3
我正在尝试使用正则表达式在特定表达式之后提取一个字段,然后 运行 一个查询,该查询计算满足此条件的事件。我这样做了:
query | rex field=_raw "text: (?<value>\d+)" | timechart partial=f span=5m count as numbers | where value > 3
有些日志条目的值大于 3,但这些事件不计入。我这里做错了什么,为什么没有得到结果?
将你的位置放在你的时间表之前
使用这 8 个事件,我可以 select 那些大于 3 的
source="splunk.txt" host="stack" index="stack" sourcetype="raw_line_break"
| rex "text: (?<value>\d)"
| where value > 3
| timechart partial=f span=5m count as numbers
这 returns 我计数为 2,因为当时只有两个事件 window 大于 3