我有splunk查询,我想过滤掉时间大于100或任何数字的日志。
2015-09-04 14:31:55.015 INFO : [org.perf4j.TimingLogger:426] - start[1441402314909] time[103] tag[getDetails]
2015-09-04 14:31:56.437 INFO : [org.perf4j.TimingLogger:426] - start[1441402316435] time[12] tag[getDetails]
2015-09-04 14:31:57.654 INFO : [org.perf4j.TimingLogger:426] - start[1441402317653] time[20] tag[getDetails]
2015-09-04 14:31:58.721 INFO : [org.perf4j.TimingLogger:426] - start[1441402318720] time[10] tag[getDetails]
这是我的spunk正则表达式。这可能会从我的日志中过滤出4行以上,但我无法进一步提高条件(大于)。尝试了eval,但无法获得预期的结果。
sourcetype="abc" *|regex _raw=time\[(\d+)\]