splunk搜索查询返回变量值大于某个数字的条目。
splunk搜索查询返回变量值大于某个数字的条目。
提问于 2014-11-23 07:30:37
我有个日志条目:
"2014-11-22 02:42:10,545 .平均:2.74425,最小:1.43,最大:4.007.“
我想要创建一个搜索查询,返回所有“平均> 5”的日志条目。
我想选择日志条目的日期和平均值,
这能办到吗?我该怎么做?
谢谢,
回答 2
Stack Overflow用户
发布于 2014-11-23 20:19:37
在Splunk中这样做非常简单,您必须分两步完成:
- 解析日志以获取日志文件中的每个字段。要做到这一点,请使用索引服务器上的props.conf和transforms.conf文件,如果使用重型转发器,则使用客户端上的文件。另一种选择是使用Splunk默认知道如何解析的key=value格式向您发送字段。例子:"2014-11-22 02:42:10,545 . - average=2.74425 min=1.43 max=4.007.“
- 在Splunk中获取您的字段后,只需搜索average>5,就可以轻松获得所有这些搜索结果。
Stack Overflow用户
发布于 2014-11-25 11:35:01
斯普伦克的回答:
你已经提取平均场了吗?
如果没有,请转到Settings ->字段提取器-> New,输入"average“作为名称,填写源类型,并将其用作内联提取:
average:(?<average>\d+\.?\d*)啊,真灵。:)
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/27086624
复制相关文章
相似问题
腾讯云开发者
