我的日志文件在同一个实例中记录了一堆消息,因此只需搜索消息ID,然后计数就不起作用(当我想要计算每个事件多达50个事件时,我将只计算每个事件1个) 。我想首先将搜索范围缩小到显示正在发送消息的事件(“排队”),然后计算字符串“mid”的所有实例。
有什么想法吗? splunk我很糟糕。如何让所有“mid”实例成为可数字段?
index=* service=myservice "enqueued" "mid" | stats count mid
答案 0 :(得分:0)
您当前的搜索无效,因为您(可能)没有名为'mid'的字段
要在活动中搜索字符串,您可以使用rex
。试试这个。
index=* service=myservice "enqueued" "mid" | rex max_match=0 "(?<mids>mid)" | eval midCount=mvcount(mids) | table midCount
BTW,“index = *”是一种不好的做法。它迫使Splunk在每个索引中搜索,这确实减慢了速度。第一次搜索后,您应该知道并使用真实的索引名称。