使用splunk查询使用NOT和IN过滤掉记录。例如index = *,type = *,NOT消息IN(“ error1”,“ error2”)
但是在少数情况下,消息没有error1或error2,而是出现了一些意外错误,但是在内部它仍然抛出error1或error2,我该如何微调此警报。
index = *, type= *, NOT message IN ("error1","error2")
我希望splunk仅显示真正的错误消息,而不显示具有基本error1或error2的消息。