Splunk:
{ [-]
guid: ABC
level: warn
message: Analytics Audit: analyticsLoaded
source: client
timestamp: 2017-08-07T16:38:38+00:00 }
{ [-]
guid: BAC
level: warn
message: Analytics Audit: doneWithAnalytics
source: client
timestamp: 2017-08-07T16:38:38+00:00 }
这些消息显示每个guid。我希望在第一次消息和#34;之间保持持续时间。 Analytics Audit:analyticsLoaded"显示和第二条消息" Analytics Audit:doneWithAnalytics"通过guid。并获得两条消息显示在guid之后的两条消息的平均持续时间。
基本上,每个guid获得持续时间。获得平均持续时间。
我怎样才能在splunk中这样做?
答案 0 :(得分:1)
试试这个
index=blah | transaction guid startswith="analyticsLoaded" endswith="doneWithAnalytics" | timechart avg(duration)