Splunk логирование с транзакцией

Question

Splunk логирование с транзакцией

1) Я хочу подсчитать количество вхождений URL-адреса HTTP с p(95) временем отклика для вызова URL: https://example.net/v1/abc/xyz с кодом ответа 200 или 500 2) Ответ время - это разница метки времени ч / б, строки 6 и 3. 3) И вызов URL, и код статуса происходят для одной и той же нити, которая является Thread-30_Server_1, и всегда должны быть следующими. Если вы видите и событие 1, и событие 2 происходят с тем же потоком, но код состояния ответа всегда должен быть последовательным. Таким образом, поисковый запрос должен вернуть событие 1 с Status как 200, где-как событие 2 с Status как 350

Ниже выписка из журналов: Событие 1:

Line1) 2017-11-10 03:05:38,826 10606295 INFO  (Thread-30_Server_1:) :Url in else part is:https://example.net/v1/abc/xyz
Line2) 2017-11-10 03:05:38,826 10606295 INFO  (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Line3) 2017-11-10 03:05:38,826 10606295 INFO  (Thread-30_Server_1:) HTTP url : https://example.net/v1/abc/xyz
Line4) 2017-11-10 03:05:38,826 10606295 INFO  (Thread-30_Server_1:) Body: [{"itemID":"42650750083","uom":"EACH","toZipCode":"112173111","qty":1,"channel":"dotcom"}]
Line5) 2017-11-10 03:05:38,826 10606295 INFO  (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Line6) 2017-11-10 03:05:39,012 10606481 INFO  (Thread-30_Server_1:) :Status Code is:200
Line7) 2017-11-10 03:05:39,012 10606481 INFO  (Thread-30_Server_1:) :Status message is:"Success"
Line8) 2017-11-10 03:05:39,012 10606481 INFO  (Thread-30_Server_1:) Exit call and 3

Событие 2:

Line101) 2017-11-10 03:05:39,364 10606833 INFO  (Thread-30_Server_1:) Enter call with 5 attributes
Line102) 2017-11-10 03:05:39,364 10606833 INFO  (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Line103) 2017-11-10 03:05:39,364 10606833 INFO  (Thread-30_Server_1:) HTTP url : https://example.net/v2/mmm/nnn
Line104) 2017-11-10 03:05:39,364 10606833 INFO  (Thread-30_Server_1:) %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Line105) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) ####################################################################
Line106) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) Output from Server
Line107) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) {"status":350,"message":"Success","body":[{"shortageQty":0,"reservedQty":1,"partiallyReservedQty":0,"problemType":"SUCCESS"}}]}
Line108) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) ####################################################################
Line109) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) :Status Code is:350
Line110) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) :Status message is:"Success"
Line111) 2017-11-10 03:05:39,442 10606911 INFO  (Thread-30_Server_1:) Exit call

0

splunk splunk-query

Источник

user7380153 10 ноя '17 в 09:05

1 ответ

Другие вопросы по тегам splunk splunk-query

user8092700 10 ноя '17 в 20:44 2017-11-10 20:44 · Answer 1 · 2017-11-10 20:44

Прежде всего, почему ваша метка времени Splunk отличается от метки времени логов? Вам нужно применить базовые конфиги к вашему props.conf для правильной метки и переноса строк. Я хотел бы решить эту проблему, прежде чем делать что-либо еще.

Ваша вторая часть может быть решена с помощью объединения 2 строк в одно событие, а затем добавление where предложение только для возврата событий с обоими статусом =200 И статусом =350