我所有的API都通过以下方式实现:
所有日志都上传到Splunk。在获取特定API失败的次数时遇到一些困难。
这是我使用的查询。
index=<index> source=<source> "some search" | rex field=_raw "some fields are caught here like threadid" | transaction threadid startswith="ENTRY: GetApp*" endswith="Dmc Service error" keeporphans=false
但是我面临的问题是它能够对事件进行分组,但是却说有类似
的事件 "Enter" "Exit" "DmcError"
将其分组为
["Enter" "Exit" "DmcError"]
但要求是
["Enter" "Exit"] "DmcError"
有人可以帮我吗?