Question

我的日志文件在同一个实例中记录了一堆消息，因此只需搜索消息ID，然后计数就不起作用（当我想要计算每个事件多达50个事件时，我将只计算每个事件1个）。我想首先将搜索范围缩小到显示正在发送消息的事件（“排队”），然后计算字符串“mid”的所有实例。

有什么想法吗？ splunk我很糟糕。如何让所有“mid”实例成为可数字段？

index=* service=myservice "enqueued" "mid" | stats count mid

Answer 1

您当前的搜索无效，因为您（可能）没有名为'mid'的字段要在活动中搜索字符串，您可以使用rex。试试这个。

index=* service=myservice "enqueued" "mid" | rex max_match=0 "(?<mids>mid)" | eval midCount=mvcount(mids) | table midCount

BTW，“index = *”是一种不好的做法。它迫使Splunk在每个索引中搜索，这确实减慢了速度。第一次搜索后，您应该知道并使用真实的索引名称。