我们有以下格式的日志条目: LogLevel = info username = some1 eventID = update
因此,如果出现错误,LogLevel将为LogLevel = error LogLevel也可以调试
我需要做的是找到所有具有eventID = update但始终具有LogLevel = error并以表格格式呈现的用户 用户名|计数
如果我只是搜索
eventID=update LogLevel=error | stats count by username
然后我将获得LogLevel = error的用户的所有匹配条目,但是这些用户中的一些可能还具有LogLevel = info(或debug)的条目 如何在给定时间段内找到仅具有此事件ID的LogLevel = error的用户?
答案 0 :(得分:0)
Splunk在第一个管道之前的表达式之间有一个隐式AND,所以除了结果中的错误之外,应该没有LogLevels。您可以使用此查询验证:
eventID=update LogLevel=error | stats count by LogLevel
应报告LogLevel = error的单个数字。