将多个表达式添加到 splunk 查询中的单个搜索匹配
Adding multiple expressions to single searchmatch in splunk query
我正在尝试使用时间图在以下查询的搜索匹配中添加两个不同的表达式,但它给了我错误。谁能帮我解决同样的问题
如果看到 Expr2 或 Expr3 中的任何一个表达式,count2 应该增加。
计数 1 正确,计数 2 给出错误的问题
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2" OR "Expr3"))) as "count2"
searchmatch 函数将单个字符串(可能包含模式)作为其参数,而不是布尔表达式。尝试使用两个 searchmatch 调用。
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2") OR searchmatch("Expr3"))) as "count2"
在一个 timechart 调用中只能有一个聚合函数
您正在尝试执行 两个 count 函数
timechart只会做一个
我正在尝试使用时间图在以下查询的搜索匹配中添加两个不同的表达式,但它给了我错误。谁能帮我解决同样的问题
如果看到 Expr2 或 Expr3 中的任何一个表达式,count2 应该增加。
计数 1 正确,计数 2 给出错误的问题
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2" OR "Expr3"))) as "count2"
searchmatch 函数将单个字符串(可能包含模式)作为其参数,而不是布尔表达式。尝试使用两个 searchmatch 调用。
index="abc" sourcetype="kube:container:abc_app" source="/var/log/containers/abc-env-*"
| timechart count(eval(searchmatch("Expr1"))) as "count1", count(eval(searchmatch("Expr2") OR searchmatch("Expr3"))) as "count2"
在一个 timechart 调用中只能有一个聚合函数
您正在尝试执行 两个 count 函数
timechart只会做一个