Splunk 查询以检查特定日志所花费的时间是否大于 N 毫秒?

Splunk query to check if time taken of specific log is greater than N ms?

对于 Splunk,我正在尝试类似下面的内容以及 link 中提供的内容 但它主要与提取数字有关,我正在寻找的是检查值是否大于某个 xyz 数。 如果有人能帮助我就太好了。

我不太擅长正则表达式,所以也尝试了一些 link 中给出的东西。但它不起作用。

Splunk 查询: index=1234 application_instance_name=service-name "[FooBarService#write] <--- HTTP/1.1 200 (2300ms)" 我知道上面是完全匹配的,但我使用了两个链接中给出的正则表达式。

日志:[FooBarService#write] <--- HTTP/1.1 200 (2300ms)

在这种情况下,我应该如何查看本次匹配的日志有多少超过了5000ms? 我应该在 spunk 搜索中构建什么查询?

也许这会有所帮助。 rex 命令使用正则表达式从每个事件中提取持续时间。 where命令过滤掉不超过5000ms的。最后stats统计剩余的事件数,留下值大于5000ms的事件数。

index=1234 application_instance_name=service-name "[FooBarService#write] <--- HTTP/1.1 200 (*)"
| rex "\((?<ms>\d+)ms"
| where ms > 5000
| stats count