Как использовать команду rex для извлечения двух полей и составления диаграммы для обоих в одном поисковом запросе?

Question

Как использовать команду rex для извлечения двух полей и составления диаграммы для обоих в одном поисковом запросе?

У меня есть запись в журнале, например, 2017-06-21 12:53:48,426 ИНФО транзакции.TransactionManager.Info:181 -{"message":{"TransactionStatus":true,"TransactioName":"removeLockedUser-1498029828160"}} . Как я могу извлечь TransactionName и TranscationStatus и распечатать в виде таблицы TransactionName и его количество.

Я попробовал ниже запрос, но не получил никакого успеха. Это всегда дает мне 0.

sourcetype = 10.240.204.69 "TransactionStatus" | rex field = _raw ".TransactionStatus (?.)" | счетчик статистики ((status=true)) как success_count

0

splunk splunk-query rex

Источник

user5912209 21 июн '17 в 10:39

1 ответ

Другие вопросы по тегам splunk splunk-query rex

user5912209 22 июн '17 в 03:38 2017-06-22 03:38 · Answer 1 · 2017-06-22 03:38

Решил это с этим:

| makeresults | eval _raw = "2017-06-21 12: 53: 48,426 Информационная транзакция.TransactionManager.Info:181 -{\"message\":{\"TransactionStatus\":true,\"TransactioName\":\"removeLockedUser-1498029828160\"}}" | переименуйте COMMENT AS "Все выше генерирует пример данных о событиях; все ниже - ваше решение" | rex "{\" TransactionStatus \ ": (? [^,]), \" TransactioName \ ": \" (? [^ \ "]) \" "| count count OVER TransactioName BY TransactionStatus