Запрос Splunk, чтобы найти больше, чем

Question

У меня есть журнал регистрации спленка: "TOTAL NUMBER OF RECORDS IS:0"

Мне нужно запросить его таким образом, чтобы он нашел сообщение журнала, если число записей оказывается больше 0

Я пробовал следующее

 sourcetype=mylogs | rex "\d+:\d+:\d+\s(?<TOTAL NUMBER OF RECORDS IS:>\d+)$" | where TOTAL NUMBER OF RECORDS IS:>=25

Выдает ошибку терминатора

splunk splunk-query

Источник

user11015749 27 фев '19 в 00:54

3 ответа

Решение

У меня это не сработало, могут быть разные версии splunk. Я хотел получить журнал «Событие с задержкой 102» для значений больше 100.

Ниже запрос работал.

      index="***" sourcetype="***" "An event" | rex "An event at a delay of (?<delay>[0-9]+)" | where delay > 100

Источник

Aishwarya Sharma 29 авг '22 в 12:17

Вот пример SPL для удовлетворения ваших требований:

| makeresults 
| eval _raw="TOTAL NUMBER OF RECORDS IS:10"
| rex field=_raw "TOTAL NUMBER OF RECORDS IS:(?<record_num>.\d+)" 
| where record_num > 0

Построчно Объяснение:

Строка 1-2: Создание фиктивного события для этого теста.
Строка 3: извлечь значение числа записей из _raw и хранить его в record_num поле.
Строка 4: where предложение для фильтрации результатов.

Источник

user5334744 27 фев '19 в 02:56

Другие вопросы по тегам splunk splunk-query

user2227420 27 фев '19 в 02:56 2019-02-27 02:56 · Accepted Answer · 2019-02-27 02:56

Есть несколько вещей не так с этим запросом.

Регулярное выражение ищет 3 набора цифр, разделенных двоеточиями. Это не соответствует вашему примеру. Пытаться TOTAL NUMBER OF RECORDS IS:(?<field>\d+), Вы можете даже обойтись с :(?<field>\d+),
Имя поля в вашем запросе не должно содержать пробелов. Попробуйте что-то вроде TotalNumberOfRecords,
Имена полей не могут содержать двоеточия. Это, вероятно, источник сообщения об ошибке.

Попробуйте этот запрос:sourcetype=mylogs | rex ":\d+(?<TotalNumberOfRecords>\d+)" | where TotalNumberOfRecords>=25