如何使由通用相关ID链接的变量显示在Splunk表的同一行上?
我正在记录从应用程序中的各个客户端进行外部服务调用所花费的时间。这些是我在Splunk中搜索的各种事件,然后提取呼叫花费的时间。对于一次执行该应用程序,将使用多个客户端,并且有一个唯一的关联ID将它们链接在一起。
想象一下Splunk中的事件可能看起来像这样:
<RandomStuff, client1 time1: 3.2 , Random Stuff, correlation id: 250>
然后另一个事件是:
<RandomStuff, client2 time2: 2.7 , Random Stuff, correlation id: 250>
因此,客户端名称(例如client2 time2)将不同,但是对于特定执行,相关性ID相同。
我在Splunk中搜索time1,time2,timeN,然后提取时间和相关ID:
<my search>
| rex "time1: (?<t1>.*)"
| rex "time2: (?<t2>.*)"
| rex "time3: (?<t3>.*)"
| rex "correlation_id: (?<corId>.*)
这将捕获所有相关事件并提取时间(如果存在的话-因为一个Splunk事件将仅包含三个客户端之一,所以time1,time2和time3存在三个不同的事件)。
然后我将| table t1 t2 t3 corId添加到搜索的末尾,并得到一个如下所示的表:
但是,我想要的是这样的东西:
任何人都知道如何将t1,t2和t3与匹配的相关ID合并到同一行吗?
我对Splunk不太好,所以我认为可能发生的是,当我执行rex time1时,却发生了rex time2事件,它将time1设置为空/空对于那个特定事件。因此,它实际上是在显示我要告诉的内容。但是由于这些是不同的事件日志,因此我尝试将它们与链接的关联ID合并为一行,因此我不确定该怎么做。
1 个答案:
答案 0 :(得分:0)
我认为可能发生的是,当我做rex time1时, 使用rex time2的事件为此将time1设置为空/空 对于该特定事件。所以它实际上是在显示我 告诉它。
这是正确的。我们可以使用stats命令来合并行。
<my search>
| rex "time1: (?<t1>.*)"
| rex "time2: (?<t2>.*)"
| rex "time3: (?<t3>.*)"
| rex "correlation_id: (?<corId>.*)"
| stats values(t1) as t1, values(t2) as t2, values(t3) as t3 by corId
| table t1 t2 t3 corId
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?