我有一个日志声明,如2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {" message":{" TransactionStatus":true, " TransactioName":" removeLockedUser-1498029828160"}}。 如何提取TransactionName和TranscationStatus并以表格形式打印TransactionName及其计数。
我尝试了以下查询,但没有取得任何成功。它总是给我0。
sourcetype = 10.240.204.69" TransactionStatus" | rex field = _raw" .TransactionStatus(?。)" | stats count((status = true))as success_count
答案 0 :(得分:0)
解决了这个问题:
| makeresults | eval _raw =“2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 - {\”message \“:{\”TransactionStatus \“:true,\”TransactioName \“:\”removeLockedUser-1498029828160 \ “}}” |将评论重命名为“以上所有内容都会生成示例事件数据;以下所有内容都是您的解决方案” | rex“{\”TransactionStatus \“:(?[^,] ),\”TransactioName \“:\”(?[^ \“] )\”“ |图表计数OVER TransactioName BY TransactionStatus