Splunk:尝试合并两个搜索,以便我可以创建delimter并将其格式化为新表

时间:2019-03-29 15:12:04

标签: splunk

我对Splunk还是很陌生,但是已经学到了足够的知识,可以使用“提取字段”选项并使用正则表达式/分隔符来创建报告,以便我可以为表创建自定义提取,从而可以创建报告。

现在,我正在尝试为我们的销售团队创建报告,以通知他们何时用户基本上正在使用他们不应该通过我们的系统使用的流程,但是在正确报告这些问题时遇到了问题。我尝试过使用OR语句进行搜索,以尝试加入我得到的搜索,但是我注意到我提取重复信息的字段和表未正确加入。

下面是我加入的两个不同搜索的示例,因此在创建提取的字段后可以获得以下结果

_Date /时间和_Raw已经给出,我知道如何根据需要使用提取和“ AS”语句重命名提取的字段。我将执行“ -_Raw”,因为最终方将不需要我正在配置的报告和警报。

| _日期/时间| Corp_acct_nbr | LoginId |产品订购| _Raw

下面是我需要“加入”的两次搜索

搜索1:

2019-03-29 08:07:14,833 [http-bio-8081-exec-21]信息{requestId = 4e639bde-5234-11e9-9dc1-0050568edf8a,sessionId = dbe4a47e-522f-11e9-9dc1-0050568edf8a, loginId = bconnell,ipAddress = 192.168.103.205} cnurwfRequestContextFilter.doFilter:67-请求/ AccountService / billing / account / 3410061 / orderPayment在12.880164272秒内完成

搜索2:

2019-03-29 08:07:14,937 [http-bio-8081-exec-22] INFO {requestId = 4e639bde-5234-11e9-9dc1-0050568edf8a,sessionId = dbe4a47e-522f-11e9-9dc1-0050568edf8a, loginId = bconnell ,ipAddress = 192.168.103.205} cpRechargeEvent.createInvoice:1263-ssnID ssnType <2> 已将hmItem添加到order.getHM:Analytics用户$ 5

这两个都有许多ace02b-s01.nextiva.zone

我想要的结果将是

| _日期/时间| Corp_acct_nbr | LoginId |产品订购|     08:07:14 3410061 bconnell Analytics用户$ 5

我也将上面的字段用斜体表示。我相信我可以在请求ID上加入这些内容,因为该交易永远都是唯一的。

1 个答案:

答案 0 :(得分:0)

您将要在搜索中使用transaction命令,我们的文档中有examples

您的搜索将类似于"... | transaction requestId maxspan=60s maxpause=5s"。这会将requestId具有相同值的每个事件“连接”到一个事件中,然后您可以将其输入tablefields命令中以删除不需要的字段。