我尝试通过搜索查找包含多个日志条目上的模式的日志。例如
time n :Post Request xyz
time n1 :requestCode --> 401
我尝试使用正则表达式
conf_file=xyz | regex "Post\sRequest\sxyz\r\n.*401"
我与另一个编辑器一起检查了正则表达式,并正常工作。但是Splunk从未找到结果。所以我的问题是如何在这两行中搜索该模式?
答案 0 :(得分:1)
should命令与大多数其他SPL命令一样,仅查看当前事件。有多种方法可以合并事件,例如与regex,然后对合并后的值使用transaction。
答案 1 :(得分:0)
除非您进行一些props.conf操作,否则事件都是一行。
所以您遇到的问题是,您正在尝试将单独的事件(没有[表观]通用性)组合为一个事件
IF ,您在time n和time n1之间建立了联系,然后可以进行一些stats处理来合并它们< / p>
但是如果没有 actual 个示例数据,将很难进一步提供帮助:)