我在splunk中有一条日志消息,如下所示:
Mismatched issue counts: 5 vs 9
是否可以将5和9解析为变量并使用它们绘制图形?
我调查了Splunk Custom Log format Parsing 看到有一个使用json解析json日志消息的选项。但是我该如何以json身份登录并在splunk图表中使用spath?
答案 0 :(得分:2)
您无需登录JSON即可解析自定义日志。使用正则表达式。
```Extract the two numbers as fields 'a' and 'b'```
... | rex "Mismatched issue counts: (?<a>\d+) vs (?<b>\d+)"
```Group events by hour```
| bin span=1h _time
```Chart the results```
| chart max(a) as a, max(b) as b by _time