Я пишу splunk-запрос, чтобы узнать основные исключения, влияющие на клиента. Итак, у меня есть 2 запроса, один - это клиентские журналы, а другой - запрос журналов сервера. Присоединился к ним обоим, используя общее поле, это производственные журналы, поэтому я меняю его имена. Я пытаюсь найти 5 основных ошибок, влияющих на клиента. ниже мой запрос.
index=pirs sourcetype=client-* env=* (type=Error error_level=fatal) error_level=fatal serviceName=FailedServiceEndpoint | table _time,serviceName,xab,endpoint,statusCode | join left=L right=R where L.xab = R.xab [search index=zirs sourcetype=server-* | rex mode=sed field=span_name "s#\..*$##" | search span_success = false spanName=FailedServiceEndpoint | table _time,spanName,xab] | chart count over L.serviceName
Я явно упомянул здесь имя службы. В последнем запросе не будет имени службы, потому что нам нужны 5 основных ошибок, влияющих на клиента.
Этот запрос предоставляет мне имя службы и количество, мне также нужны другие столбцы, такие как имя конечной точки, httpStatusCode, я не уверен, как это сделать, а также, требуется ли что-то рефакторинг для запроса splunk?
