我是Splunk的新手。我需要从我们的日志中获取每个错误消息的计数。我尝试编写以下搜索查询,但未按预期工作。
index =“ my_index” source =“ my_service .log” logger =“ com.xyz.splunk.logger。*”严重性=“ ERROR” | eval errorType = case(Message ==“必填字段field1为空”,“缺少field1 “,Message ==”必填字段field2为空“,”缺少field2“,Message ==”必填字段field1具有无效值“,” invalid field1“)| 统计信息按errorType计数
您可以提供一些示例事件吗?为什么说它没有按预期运行?
我猜您将需要match在“消息”字段上使用,以匹配部分字符串,但这只是基于缺乏示例事件的猜测。
index="my_index" source="my_service.log" logger="com.xyz.splunk.logger.*" severity="ERROR"
| eval errorType=case(
match(Message, "mandatory field field1 is null"), "missing field1",
match(Message, "mandatory field field2 is null"), "missing field2",
match(Message, "mandatory field field1 has invalid value"), "invalid field1"
)
| stats count by errorType
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句