【发布时间】:2021-08-31 16:47:40
【问题描述】:
我希望组合和操作来自不同日志记录实例的两个提取字段。我正在使用rex 命令进行提取。
但是,从阅读文档看来,无法将匹配不同行的 rex 命令组合起来。
例如:
假设我记录了这一行:Timestamp Caller foo bar <DATA> blah blah。使用 rex,我可以像 rex field=log "foo bar (?<DATA>\d{1,6}).* 一样简单地获取 <DATA> 字段。 (注意是数字数据)。
现在我有另一行记录为Timestamp Caller baz qux <DATA2> blah blah。同样,我可以将<DATA2> 当作rex field=log "baz qux (?<DATA2>\d{1,6}).* 获取。
问题是<DATA> 和<DATA2> 之间存在我想量化的关系。
如何运行一个查询来捕获出现在不同日志行中的两个数据点?
注意:相关的How can I combine 2 queries in Splunk 问题不相关,因为这些问题中的数据要么出现在同一行,要么没有明确使用rex。
【问题讨论】:
-
你想量化什么关系?获得数据点后,您可以使用 where 或 something 来获得您想要的吗?我经常做的另一件事是运行一个事务来对事件进行分组,然后对其进行 rex。如果你能描述你想做什么,那会有所帮助。
标签: splunk splunk-query splunk-dashboard