我发现我可以创建一个Splunk查询来显示特定事件类型的结果在结果中出现的次数。
severity=error | stats count by eventtype
这会创建一个如下表格:
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
到目前为止一切顺利。但是,我想查找结果为零的事件类型。不幸的是,那些计数为0的人在上面的查询中没有说明,所以我不能只是按照那个过滤。
如何为未使用的事件类型创建Splunk查询?
答案 0 :(得分:0)
有很多不同的方法,取决于你的意思"事件类型"。在某个地方,您必须获得您感兴趣的任何内容的列表,并将它们滚动到查询中。
这是一个版本,假设您有一个csv,其中包含您想要查看的事件类型列表...
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
这是另一个版本,假设您想要一个包含过去90天内发生的所有事件类型的列表,以及昨天发生的事件数量:
earliest=-90d@d latest=@d severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype