我们有一个以下列方式生成日志的应用程序:
task1: spend 51milliseconds
task2: spend 40milliseconds
task3: spend 30milliseconds
task1: spend 101milliseconds
我们希望过滤Splunk结果,使其仅显示花费超过100毫秒的日志条目。
最好的方法是什么?
答案 0 :(得分:3)
这有效:
| rex "spend (?<timespent>.*)milliseconds" |WHERE timespent>100
答案 1 :(得分:1)
尝试,(假设字段名称是日志)
通过排除第一个数字(如果它是0
)来选择3位数值 | regex log="spend [1-9]{1}[0-9]{2}milliseconds"| table log
或尝试
这将包括更多的3位数值
| regex log="spend [1-9]{1}\d\d+milliseconds"| table log