我正在向splunk发送一些数据,如下所示:
"Start|timestamp:1552607877702|type:counter|metricName:cache|count:34488378|End"
然后使用正则表达式提取字段:
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":"
提取后,我可以在“ INTERESTING FIELDS”下看到字段(类型,metricName,计数)。如何在仪表板中使用这些字段?
谢谢
答案 0 :(得分:1)
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by metricName
或
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | stats count by type
或
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":" | table type, metricName, count
都应该给您一个表格,该表格也可以表示为可视化内容。您可以将任何这些事件或原始事件保存为仪表板。
答案 1 :(得分:0)
如果您在“选择的字段”或“有趣的字段”列表中看到一个字段,则表示Splunk已将其提取出来并可供使用。通过在诸如table type, metricName, count或stats max(count) by metricName之类的SPL命令中通过提及它们的名称来使用它们。一旦有了这些领域,其余的一切都取决于您的想象力(以及SPL的规则)。