我有两种记录消息ID的方法。第一种方法是JMS生产者,第二种方法是JMS使用者。当消息长时间在队列中时,我需要打印队列中的消息ID超过20秒。
Log statements:
JMSProducer: MessageId=123
JMSProducer: MessageId=456
JMSConsumer: MessageId=123
JMSConsumer: MessageId=456
使用他们记录的时间戳,我需要运行一个报告,给我一个大于20秒的时间戳差异。
如何为它编写Splunk查询?
输出应该是消息ID和时间戳差异,以毫秒或秒为单位。
答案 0 :(得分:1)
使用transaction将两条日志消息绑定在一起,它会为您提供持续时间字段。
在此搜索 | transaction MessageId | where duration > 20 | 此处的其他操作,例如统计信息