"daily unique entry text"
| spath input=stats
| where ('expectedCount' != _???_)
我每天都有一个唯一的日志条目,其中声明了当天要处理的expectedCount个项目。
比方说,该每日条目包含唯一的文本daily unique entry text,并且每次成功处理项目时,我都会登录item processed。
我希望如果当天的expectedCount不等于随后的item processed个日志条目的数量时发出警报。
这可以用_???_上的东西来完成吗?或者:什么是最好的方法?预先感谢!
答案 0 :(得分:1)
index=* "item processed" | stats count | append [ search index=* "daily unique entry text" | spath input=stats | fields expectedCount ] | stats values(count) as c, values(expectedCount) as ec | where c != ec
我认为这是最直接的方法,但是还有其他方法。首次搜索仅获得所有已处理项目的计数。您可能需要将其限制为需要的一天。然后,我们附加另一个搜索,它只是预期计数的值。我们使用另一个stats命令将实际计数和预期计数的值一起获取。然后,只需将它们进行比较