Question

由于某些原因，splunk正在组合多个日志。

出于统计原因，每次用户登录时都会记录。我预计在splunk中，每个日志会得到一行，如下所示：

TIMESTAMP user of type=1 has logged in
----------------------------
TIMESTAMP user of type=2 has logged in
----------------------------
TIMESTAMP user of type=3 has logged in

等。其中-------------表示日志之间的分隔符。

但是，我将多个日志视为一个日志，例如：

TIMESTAMP user of type=1 has logged in
TIMESTAMP user of type=2 has logged in
TIMESTAMP user of type=1 has logged in
-------------------------------
TIMESTAMP user of type=3 has logged in
TIMESTAMP user of type=3 has logged in
--------------------------
TIMESTAMP user of type=2 has logged in
TIMESTAMP user of type=1 has logged in
TIMESTAMP user of type=3 has logged in
TIMESTAMP user of type=1 has logged in
---------------------------------

分组是随机的，每组1-6个。我需要能够计算每天登录的次数。因此，回答以下任何一个问题就足够了。

为什么splunk“合并”我的日志以及如何将它们分开？
我如何根据行而不是日志计算时间跨度（并且仍保持每种类型的计数）
有没有办法可以在一个日志中提取具有相同键名的多个字段并统计它们？

Answer 1

1。您可以参考＆＃34;换行＆＃34;在props.conf中，您可以尝试 LINE_BREAKER ， SHOULD_LINEMERGE 等属性，...请参阅：http://docs.splunk.com/Documentation/Splunk/6.1.3/Admin/Propsconf

2. 有两种方法可以做到这一点。一个。使用＆＃34; bucket＆＃34;命令：... | bucket _time span = 5min | ... 湾使用＆＃34;时间表＆＃34;或＆＃34;图表＆＃34;使用＆＃34; span＆＃34;命令参数：... | timechart span = 5min

然后....算上它。

3. Splunk中的多个值表示事件中的字段具有多个值。我不确定＆＃34;在一个日志中提取具有相同键名的多个字段＆＃34; 表示，您能提供一个示例吗？

Answer 2

1.我认为这些线路的合并是基于共同的时间戳进行的。请告知合并事件的时间戳。

2.对于每种类型的时间跨度计数，您最好使用字段命名类型，并根据该字段绘制时间图。

3.你可以。

Splunk结合多个日志

2 个答案: