Splunk ищет журналы событий для поиска значений, превышающих заданный порог

Я хочу найти событие журнала

"Closure request counts: startAssets: "

и найдите случаи, когда startAssets больше 50.

Как бы я это сделал?

Что-то вроде:

Closure request counts: startAssets: 51

может дать поиск, похожий на

"Closure request counts: startAssets: {num} AND num >=50"

возможно?

Как это выглядит в SPL?


splunk splunk-query
person laila    schedule 15.12.2020    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Это довольно просто, но для этого вам нужно извлечь число. Мне нравится использовать для этого команду rex, но могут быть и другие способы.

index=foo "Closure request counts: startAssets: *"
| rex "startAssets: (?<startAssets>\d+)"
| where startAssets > 50
person RichG    schedule 15.12.2020
comment
это сработало! Спасибо!! - person laila; 16.12.2020