我是splunk noob试图写一个查询几个小时但到目前为止没有成功。 我想计算命令安装的次数'被触发,退出代码是' 0' 0 每个安装命令都会将日志写入一个新文件,格式为' install_timestamp'所以我正在搜索source =" install *"
使用2个源文件作为示例
source1:
event1:command=install
... //a couple of other events
event100:exit_code=0
source2:
event1:command=install -f
... //a couple of other events
event100:exit_code=0
在这种情况下,我希望结果为1.当命令为' install'时,只有1次出现exit_code = 0。 (不是-f) 令我困惑的是,command和exit_code的信息在不同的事件中,我可以分别获得这两个事件中的每一个,但能够弄清楚如何获得组合结果。
有关如何达到我想要的结果的任何提示? - 谢谢!
答案 0 :(得分:0)
它有点粗糙,但你可以做这样的事情......
(" One String" NOT" Bad String")OR" Another String" |统计数据来源|其中count> 1
它基本上会为您提供包含与两个字符串匹配的事件的文件列表。对于你的例子,这将是......
(" command = install" NOT" -f")OR" exit_code = 0" |统计数据来源|其中count> 1