splunk 按日志事件中的大小列对事件进行排序

splunk sort events by size column in the log event

使用以下查询获取具有“大分区”关键字的所有消息的列表。

index="*-mycass-db" "large partition"

获取大量以下事件,想要按 table 大小的降序查找事件(本例中为 100.803MiB),获取最大大小的事件就可以了。如何在此消息中按大小对事件进行排序?有可能吗?对不起,我不太熟悉 Splunk 查询。

WARN  [CompactionExecutor:111575] 2021-09-22 19:49:47,738  BigTableWriter.java:211 - Writing large partition keyspacename/tablename:xxxxxxx-yyyyy-zzzz-b6d4-1f4d3893e104:DOMAINDATA:REALTIME_EVENT_DATA (100.803MiB) to sstable /data/cassandra/data/keyspacename/tablename-aaaaaaaaaaaaaaabbbbbbbbbb/mc-17858-big-Data.db
host = myhost.mydomain source = /data/cassandra/logs/system.logsourcetype = cassandra:cluster:system

第一步是从事件中提取表的大小。然后你可以按大小排序。

index="*-mycass-db" "large partition"
| rex "\((?<size>\d+\.\d+)MiB"
| sort - size