Splunk как исключить определенную юдоль из списка, если она существует

Question

Splunk как исключить определенную юдоль из списка, если она существует

У меня есть журнал с полезной нагрузкой примерно так:

"Stats":[        { 
           errors: 0
           type: "Disc"
           success: 878
         },
         {
           errors: 21
           type: "cronJob"
           success: 25
         },
         { 
           errors: 0
           type: "File"
           success: 8787
         },
         { 
           errors: 15
           type: "Unknown"
           success: 0
         }]

Мне нужно избавиться от объекта типа "Неизвестный" и получить сумму оставшихся значений

Я могу получить сумму всех ошибок, но для событий типа Unknown я не знаю, как это сделать. Не могли бы вы помочь?

<search>|rename Stats{}.type= as type|eventstats sum(errors)  as ErrorCount

Это мой текущий поиск без исключения неизвестного типа. как включить логику исключения неизвестных счетчиков

0

filter splunk splunk-query splunk-formula splunk-sum

Источник

user9340011 07 авг '20 в 00:57

2 ответа

Другие вопросы по тегам filter splunk splunk-query splunk-formula splunk-sum

user9395495 07 авг '20 в 02:26 2020-08-07 02:26 · Answer 1 · 2020-08-07 02:26

<search>|rename Stats{}.type= as type | where type != "Unknown" | eventstats sum(errors)  as ErrorCount

3

Источник

user9395495 07 авг '20 в 02:26

user4418 10 авг '20 в 17:28 2020-08-10 17:28 · Answer 2 · 2020-08-10 17:28

Полезные данные JSON обрабатываются как многозначное поле

Значит тебе нужно mvexpand это перед тем, как отфильтровать то, что вы хотите игнорировать

Попробуйте что-то вроде этого:

index=ndx sourcetype=srctp Stats{}.type=*
| rename Stats{}.type as type
| mvexpand type
| search NOT type="Unknown"
| ...

0

Источник

user4418 10 авг '20 в 17:28