splunk 搜索查询中的 DateTime 格式搜索
DateTime format search in the splunk search query
我的 splunk 日志中有“YYYY-MM-DD HH:MM:SS.QQ 错误”。
现在我想在我的 splunk 日志中搜索类似的日期模式以及状态,例如“2021-Apr-08 23:08:23.498 ERROR”,如果 ERROR 标记出现在日期旁边,则创建警报。
这些日期是可变的,并在 运行 时间生成。
谁能建议我如何在 splunk 查询中检查日期时间格式和状态。
在标题中您提到了 Amazon Web Services。如果您的事件是实际的 AWS 日志数据,您可以安装 Splunk Add-on for Amazon Web Services: https://splunkbase.splunk.com/app/1876/
add-on自带大量字段提取。安装 add-on 后,您需要做的就是查看您的事件,找出状态文本的正确字段名称,然后搜索 status=ERROR.
或者,您可以自己创建字段提取。这个正则表达式应该做:
(?<date>\d\d\d\d-\w+-\d\d\s+\d\d:\d\d:\d\d\.\d\d\d)\s+(?<status>\w+)
你可以在这里测试:https://regex101.com/r/pVg1Pm/1
现在使用 Splunk 的 rex 命令在搜索时进行字段提取:
要自动完成字段提取,您可以通过“设置”/“字段”/“字段提取”添加新的字段提取。
我的 splunk 日志中有“YYYY-MM-DD HH:MM:SS.QQ 错误”。 现在我想在我的 splunk 日志中搜索类似的日期模式以及状态,例如“2021-Apr-08 23:08:23.498 ERROR”,如果 ERROR 标记出现在日期旁边,则创建警报。 这些日期是可变的,并在 运行 时间生成。
谁能建议我如何在 splunk 查询中检查日期时间格式和状态。
在标题中您提到了 Amazon Web Services。如果您的事件是实际的 AWS 日志数据,您可以安装 Splunk Add-on for Amazon Web Services: https://splunkbase.splunk.com/app/1876/
add-on自带大量字段提取。安装 add-on 后,您需要做的就是查看您的事件,找出状态文本的正确字段名称,然后搜索 status=ERROR.
或者,您可以自己创建字段提取。这个正则表达式应该做:
(?<date>\d\d\d\d-\w+-\d\d\s+\d\d:\d\d:\d\d\.\d\d\d)\s+(?<status>\w+)
你可以在这里测试:https://regex101.com/r/pVg1Pm/1
现在使用 Splunk 的 rex 命令在搜索时进行字段提取:
要自动完成字段提取,您可以通过“设置”/“字段”/“字段提取”添加新的字段提取。