我们正在对我们的服务器进行性能监控,并且日志记录正在记录记录末尾包含以下字符串的记录:
execution time: X ms
(其中X是数字)。
我正在尝试编写查询以显示大于5毫秒的任何内容。
我在论坛上搜索过,并且一直在浏览文档和搜索提示,但似乎我的搜索没有经过深思熟虑,而且我发现的任何内容都不相关。
任何帮助或指点和笑声都表示赞赏。
答案 0 :(得分:0)
我知道,一发布,我就找到了答案。对于那些好奇的人:
index=foo sourcetype=foo_log "execution time" |rex field=_raw "execution time: (?<perftime>.*) ms" | bin _time span=5m | search (perftime > 5)
这可能不完全正确,但我得到了我需要的记录匹配。如果有更好的方法,请随时纠正我。