在哪里放置'交易' Splunk查询中的条件

时间:2017-01-27 20:34:48

标签: splunk

此处的目的是使用Splunk 

 transaction startswith

与指定一对字段和自由格式搜索字符串的查询结合使用。查询的正确结构/排序是什么?

首先:以下查询返回一些记录:

 index=dev sourcetype="alstest-tuning--1-0-50--*" Error

现在我们要查看每个结果后面的一些记录。以下是几次尝试:

 transaction startswith("index=dev sourcetype=\"alstest-tuning--1-0-50--*\" Error") maxevents=20


 index=dev sourcetype="alstest-tuning--1-0-50--*" transaction startswith("Error") maxevents=20

这些方法都不会返回任何。第一个问题也出现了一个相关问题:如何转义字段的引号。指针赞赏。

1 个答案:

答案 0 :(得分:2)

使用交易的方式不同。让我简要介绍一下Splunk事务命令:

  • 交易是跨越时间的任何相关事件组
  • 事件可以来自多个应用程序或主机
  • 与在线商店单次购买相关的事件可以跨越应用服务器,数据库和电子商务引擎
  • 一封电子邮件可以在通过各种队列时创建多个事件
  • 网络流量日志中的每个事件代表生成单个http请求的单个用户
  • 访问单个网站通常会生成多个http请求

事务命令的语法

transaction [field-list] [name=transaction-name] [transaction_definition-opt]*

  • 根据此字段列表的值

    • 将事件分组到事务中

  • 如果指定了带引号的字段列表,如果事件对每个字段具有相同的值,则将事件分组在一起

  • 常见约束 maxspan | maxpause | maxevetns |以|开头结束

如何使用事务命令:

  1. 通过SESSIONID组合所有事件 index=index_name sourcetype=some-source-type | transaction SESSIONID

  2. 使用transaction命令,我们还可以使用表格轻松查看我们想要的信息:index=* | transaction SESSIONID | table SESSIONID, action, product_name

  3. 交易命令:startswith / endswith:要根据条款,字段值或评估形成交易,请使用startswith& endswith选项

    4.   

    示例:交易中的第一个事件包括addtocart&最后一次活动包括购买

    index=* sourcetype=access* | transaction clientip \
      startswith=action="addtocart" endswith=action="purchase"
         

    在您的情况下,您需要使用最后显示的示例。

    注意:当您需要查看相关的事件时使用事务,还必须根据开始/结束值定义事件分组。

相关问题
最新问题