基于日志stdout的splunk查询
splunk query based on log stdout
我想不出如何查询splunk。我有日志“正在等待更改日志锁..”,现在我需要 select 所有发生的事情,如果在 10 分钟的时间段内,从打印后开始,没有日志说“成功获取更改日志锁”。这不起作用,因为它检查同一个日志是否包含它:index="[there goes my index]" | spath log | search NOT log="*Successfully acquired change log lock*" AND log='Waiting for changelog lock..' earliest=-10m@m latest=now
你是对的,因为当前查询期望一个字段包含两个不同的值,这永远行不通。相反,使用 OR 然后选择最近的事件。如果是“Successfully...”那么一切都很好;否则就是问题了。
index="[there goes my index]" earliest=-10m@m latest=now
| spath log
| search NOT log="*Successfully acquired change log lock*" OR log='Waiting for changelog lock..'
| dedup log
| where log="Waiting for changelog lock"
我想不出如何查询splunk。我有日志“正在等待更改日志锁..”,现在我需要 select 所有发生的事情,如果在 10 分钟的时间段内,从打印后开始,没有日志说“成功获取更改日志锁”。这不起作用,因为它检查同一个日志是否包含它:index="[there goes my index]" | spath log | search NOT log="*Successfully acquired change log lock*" AND log='Waiting for changelog lock..' earliest=-10m@m latest=now
你是对的,因为当前查询期望一个字段包含两个不同的值,这永远行不通。相反,使用 OR 然后选择最近的事件。如果是“Successfully...”那么一切都很好;否则就是问题了。
index="[there goes my index]" earliest=-10m@m latest=now
| spath log
| search NOT log="*Successfully acquired change log lock*" OR log='Waiting for changelog lock..'
| dedup log
| where log="Waiting for changelog lock"