如何在 Splunk 中查找重复的日志事件
How to find duplicate log events in Splunk
我正在尝试查询我的 Splunk 日志以查找重复数据,但找不到正确的查询。
示例日志:
{"time":"2021-07-08 02:16:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}
{"time":"2021-07-08 02:17:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}
重复的日志事件将具有相同的 id 参数,但时间戳不同。
提取所需字段后,查找重复项就是计算该字段每个值的实例并显示计数大于 1 的实例。
index=foo
| spath
| stats count by "parameters.id"
| where count > 1
我正在尝试查询我的 Splunk 日志以查找重复数据,但找不到正确的查询。
示例日志:
{"time":"2021-07-08 02:16:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}
{"time":"2021-07-08 02:17:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}
重复的日志事件将具有相同的 id 参数,但时间戳不同。
提取所需字段后,查找重复项就是计算该字段每个值的实例并显示计数大于 1 的实例。
index=foo
| spath
| stats count by "parameters.id"
| where count > 1