问在Splunk查询中放置“事务”条件的位置

EN

使用事务的方式是不同的。让我简要介绍一下Splunk事务命令：

• 事务是跨越时间的任何一组相关事件。
• 事件可以来自多个应用程序或主机。
• 与从在线商店单次购买相关的事件可以跨越应用服务器、数据库和电子商务引擎。
• 一封电子邮件可以在通过不同队列时创建多个事件。
• 网络流量日志中的每个事件表示单个用户生成单个http请求。
• 访问单个网站通常会生成多个http请求。

事务命令语法

transaction [field-list] [name=transaction-name] [transaction_definition-opt]*

• 根据此字段列表的值将事件分组为事务。
• 如果指定了引用的字段列表，则如果每个字段的值相同，则将事件分组在一起。
• 公共约束maxspan _

如何使用事务命令：

1. 通过SESSIONID index=index_name sourcetype=some-source-type | transaction SESSIONID组合所有事件
2. 使用事务命令，我们还可以使用表轻松查看我们想要的信息：index=* | transaction SESSIONID | table SESSIONID, action, product_name
3. 事务命令：startswith / endswith：若要根据术语、字段值或计算结果形成事务，请使用startswith & endswith选项

示例：事务中的第一个事件包括外接程序&最后一个事件包括购买 index=* sourcetype=access* \ transaction clientip \startswith=action=“加载车”endswith=action=“购买” 在您的例子中，您需要使用最后一个示例..

注意:当您需要看到事件关联在一起时，请使用事务处理，并且还必须根据开始/结束值定义事件分组。