标签: java splunk splunk-query
我需要从splunk中识别所有独特的日志模式。我可以在splunk UI上的模式选项卡上找到它,但想要以编程方式获取它。
我可以使用splunk sdk获取搜索结果,但无法找到唯一的日志模式。
答案 0 :(得分:0)
单击模式时,它会执行cluster命令。实际上,您可以通过查看您运行的作业的活动下拉列表来查看群集命令。
它在您刚刚运行的搜索中使用loadjob,并添加:
| cluster t=0.9 labelonly=true labelfield=_patterns match=termset | findkeywords labelfield=_patterns dedup=true
所以这只是一个常规搜索,然后使用群集。