为了不记录大量的上下文信息,我想使用这样一个事实:在splunk中我可以跟踪每个上下文的打开/关闭时间。例如,对于给定的日志:
2017-08-02 12:12:10.2342+00 - <A> - Enabled feature `feature.A`
2017-08-02 12:12:11.1000+00 - Some log message
2017-08-02 12:12:12.1000+00 - Another log message
2017-08-02 12:12:13.1000+00 - <B> - Enabled feature `feature.B`
2017-08-02 12:12:14.1000+00 - Third log message
2017-08-02 12:12:15.1000+00 - </A> - Disabled feature `feature.A`
2017-08-02 12:12:16.1000+00 - Fourth log message
2017-08-02 12:12:17.1000+00 - </B> - Disabled feature `feature.B`
2017-08-02 12:12:18.1000+00 - Fifth log message
...我希望结果中包含以下变量:
Message | Feature.A | Feature.B
--------------------|-----------|----------
Some log message | + | -
Another log message | + | -
Third log message | + | +
Fourth log message | - | +
Fifth log message | - | -
是否可以在Splunk中进行?
答案 0 :(得分:1)
是的,绝对可以!这项工作需要一点点肘部油脂
以下是一个让您朝着正确的方向前进的搜索
index = blah sourcetype = blah | transaction startswith =“已禁用 功能“endswith =”启用功能“|统计值(Feature.A) 消息的值(Feature.B)
你也可以使用eval创建一个新字段,并让你能够在Splunk中分配变量
更好的方法是在每次发生时将有状态信息写入文本文件,然后让Splunk对该文件执行查找并显示结果。你的最终目标是什么?您是否正在构建一个显示功能状态的“活动仪表板”?