用于基于正则表达式的计数的 splunk 查询
splunk query for counting based on regex
我的示例日志如下所示
fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked
日志模式是 "fixed message: {UUID}-{event-type}"
我想捕获总共有多少个事件;其中有多少是事件放置、事件保持活动和 event-auth_revoked
我可以使用 splunk 查询来捕获上述需求吗?
您可以使用 rex 对字段提取进行原型设计,因此您可以先尝试一下
rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"
所以你可以这样做:
搜索字词 | rex "fixed message: (?P<UUID>[^-+]-[^-+]-[^-+])-(?P<event>.*)" | stats count by event
然后您可以阅读 documentation 以使其不需要总是在搜索时执行 rex 命令。所以字段提取是自动发生的。
我的示例日志如下所示
fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked
日志模式是 "fixed message: {UUID}-{event-type}"
我想捕获总共有多少个事件;其中有多少是事件放置、事件保持活动和 event-auth_revoked
我可以使用 splunk 查询来捕获上述需求吗?
您可以使用 rex 对字段提取进行原型设计,因此您可以先尝试一下
rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"
所以你可以这样做:
搜索字词 | rex "fixed message: (?P<UUID>[^-+]-[^-+]-[^-+])-(?P<event>.*)" | stats count by event
然后您可以阅读 documentation 以使其不需要总是在搜索时执行 rex 命令。所以字段提取是自动发生的。