我有这个日志条目:
“2014-11-22 02:42:10,545 .. - 平均值:2.74425,最小值:1.43,最大值:4.007 ......”
我想创建一个搜索查询,返回“average> 5”
的所有日志条目我想选择日志条目的日期和平均值
这可以吗?我怎样才能做到这一点?
谢谢,
答案 0 :(得分:0)
在Splunk中进行操作非常简单,您必须分两步完成:
解析日志以获取日志文件中的每个字段。要执行此操作,请使用索引器服务器或客户端上的props.conf和transforms.conf文件(如果您使用的是重型转发器)。另一种选择是使用密钥=值格式向您发送字段,Splunk默认情况下知道如何解析。示例:“2014-11-22 02:42:10,545 .. - 平均值= 2.74425 min = 1.43 max = 4.007 ......”
在Splunk中获取字段后,只需搜索平均值> 5即可轻松获得所有这些搜索结果。
答案 1 :(得分:0)
来自splunk的回答:
您是否已提取平均字段?
如果没有,请转到设置 - >字段 - >场提取 - >新的,输入"平均"作为名称,填写您的sourcetype,并将其用作内联提取:
average:(?<average>\d+\.?\d*)
它奏效了。 :)