需要一些帮助来生成适当的Spunk查询。我正在寻找这个,但无法提出解决方案。
目前,我想忽略为仅包含ev31 = 错误的日志生成的所有错误警报;术语。如果我们使用NOT ev31 = 错误;在搜索查询中,它还会删除带有效错误条款的结果。因此,如果日志包含错误并且ev31 = 错误,则当前查询将失败;术语导致错误的结果。
任何人都可以建议一个示例查询,我们可以忽略ev31 = 错误;完全使用术语但保留带有错误术语的日志。
答案 0 :(得分:8)
尝试在引号中包含您要忽略的字符串,因此您的搜索可能类似于index=myIndex NOT "ev31=error"