我正在尝试查找有关以下内容的适当的Splunk文档,但这似乎很困难。 从概念上讲,我需要做的很简单:我想找出连续两天的某些事件的数量并将其减去(简单地减去数字)。 例如,我需要找出2天前对某个网站('somewebsite / myaction')c1成功进行POST调用(HTTP 200)的次数:
search sourcetype = myproject:prod somewebsite post myaction 200
earliest=-2d@d latest=-1d@d | stats count as c1
此外,我也进行同样的操作以查找昨天的相同类型的事件,我们将其称为c2:
search sourcetype = myproject:prod somewebsite post myaction 200
earliest=-1d@d latest=-0d@d | stats count as c2
现在我要做的就是找出 c1-c2 ,如果该值高于某个阈值,则触发一个事件。 我正在尝试类似的操作,但并没有显示“ t”:
| set diff [search sourcetype = myproject:prod somewebsite post
myaction 200 earliest=-2d@d latest=-1d@d | stats count as c1] [search
sourcetype = myproject:prod somewebsite post myaction 200
earliest=-1d@d latest=-0d@d | stats count as c2] | eval t=(c1-c2)
谢谢
问候,
索林
P.S。
我非常了解以下内容:
sourcetype=myproject:prod somewebsite post checkout 200 earliest=-2d@d latest=-1d@d
| stats count as C1 | appendcols [search sourcetype = myproject:prod somewebsite
post checkout 200 earliest=-1d@d latest=-0d@d | stats count as C2] | eval t=(C1
- C2)
现在我要做的就是在警报中表达我希望在t高于阈值(例如t> 100)时触发它。我该怎么办?
答案 0 :(得分:0)
我了解这是如何工作的:难题的最后一步是添加“ where t> 100”:
sourcetype=myproject:prod somewebsite post checkout 200 earliest=-2d@d
latest=-1d@d
| stats count as C1 | appendcols [search sourcetype = myproject:prod
somewebsite
post checkout 200 earliest=-1d@d latest=-0d@d | stats count as C2] | eval t=(C1
- C2) | where t > 100
现在,通过此搜索,我可以简单地创建一个警报,当结果数大于0时触发(如果我有结果,这意味着在我的公式中t大于100,所以我需要将其触发为警报)。 就这样 !遗憾的是,很难找到特定的Splunk文档。