标签: splunk splunk-query splunk-calculation
有人可以建议查询以发送唯一的错误代码计数。
示例enter image description here 2006
在标签之间(代替2006)打印不同的代码 我需要查询以拉出所有唯一的错误代码
答案 0 :(得分:1)
您可以使用rex命令提取所需的值。看起来像这样:
rex
your_initial_query | rex field=_raw "<com:errorCode>(?<code>.*)<\/com:errorCode>" | stats count by code
第二行告诉rex提取errorCode标记之间的所有内容并将其保存到名为code的字段中。然后,您可以使用stats命令来计算看到代码的次数。
code
stats
