我正在尝试对关联ID进行正则表达式,该ID将在每个交易中具有不同的唯一编号。 我正在使用下面的查询,但未获取正确的值(相关ID),
Splunk查询: timeformat =“%d /%m /%Y%H:%M:%S”最早=“ =” 28/03/2019 15:38:08“ Latest =” 28/03/2019 18:08:08“主机= “ splunk-max-tk.global.com.local:9090”“ correlationid_test1234”“请求流lambda开始”或“响应流lambda结束” | rex field = _raw“ 2019 *(?。*?)” | isnotnull(correlationId)在哪里|交易相关ID startsWith =“请求流lambda结束” endsWith =“响应流lambda结束” | dedup relatedId
Splunk日志:
28/03/2019
18:08:03.748
2019-03-28T18:08:03.748402 + 11:00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init .py 187]请求流lambda开始
2019-03-28T18:08:05.129540 + 11:00 [correlationid_test1234hfkfhsfkfsjhfjlsdhfjl] INFO [ init .py 187]响应流lambda结束