我的示例日志如下所示
fixed message: 443-343-234-event-put
fixed message: wre-sdfsdf-234-event-keep-alive
fixed message: dg34-343-234-event-auth_revoked
fixed message: qqqq-sdf-234-event-put
fixed message: wre-r323-234-event-keep-alive
fixed message: we33-343-234-event-auth_revoked
日志模式为"fixed message: {UUID}-{event-type}"
我想捕捉总共有多少事件;其中有多少是event-put,event-keep-alive和event-auth_revoked
我可以通过splunk查询来捕获上述需求吗?
答案 0 :(得分:2)
您可以使用rex对字段提取进行原型设计,以便您可以先试用
rex "fixed message: (?P<UUID>\w+-\w+\w+)-(?P<event>.*)"
所以你可以这样做:
搜索字词 | rex "fixed message: (?P<UUID>[^-+]-[^-+]-[^-+])-(?P<event>.*)" | stats count by event
然后,您可以阅读documentation,使其无需始终使用搜索执行rex命令。所以现场提取是自动进行的。