我有一个splunk日志,该日志将采用JSON格式或原始数据。需要使用stats命令编写splunk查询。
index = * application_name = abc type = imp |统计信息按状态计数
尝试使用“按状态计数统计”命令,但没有任何作用。还尝试作为“按message_text:data统计数据”,“按message_text:data:状态统计”
记录如下,
{“ application_name”:“ abc”,“ type”:“ imp”},“ box”:“ dev”,“ message_text”:“ {\” data \“:{\” error \“:” invalid “,\”状态\“:” 200“}}
需要按状态和类型获取计数
答案 0 :(得分:0)
@Sateesh M
可以请您试试吗?
127.0.0.1:8000/categories我的样本搜索:
YOUR SEARCH | rex field=_raw "\"message_text\":\"(?<data>.*)$" | rex mode=sed field=data "s/\\\\\"/\"/g" | eval _raw=data | kv | stats count by "data.status"