我在6台服务器中的1台上部署了一些代码。我需要一个splunk查询,从其他5个主机中提取数据。类似的东西 - 所有除了这1个主机。我知道splunk中的主机选项可以查找主机的日志,但我不知道如何做除1以外的所有操作。有人可以帮我吗?
我正在谈论的一个框有我最新的代码更改,其他5个有我的旧代码。所以我想编写一个查询来执行之前与之后的分析。
答案 0 :(得分:1)
看起来你有答案,但我使用另一种方法为我加速。
在搜索结果中,您可以通过 ALT单击对所选字段中的值快速删除要过滤的内容。在您的情况下,它会在您的查询中添加NOT host="1"并立即更新您的结果。
当我处于调查问题的初步阶段时,我发现这特别有用,并且没有足够的信息来确切地知道首先要查看的位置。它可以轻松快速地消除您不需要的内容。
*注意:这可能在Splunk 6中仍然存在,但不确定错误是否已修复:http://answers.splunk.com/answers/109473/alt-click-not-working-selected-fields
答案 1 :(得分:0)
好的,我得到了我的问题的答案。只需使用!=。所以如果我想要除主机1之外的所有主机的结果,我所做的就是 - index = blah host!=“1”