我的 splunk 日志中有“YYYY-MM-DD HH:MM:SS.QQ 错误”。 现在,我想在我的 splunk 日志中搜索类似的日期模式以及“2021-Apr-08 23:08:23.498 ERROR”之类的状态,并在错误标签出现在日期旁边时创建警报。 这些日期是可变的,并在运行时生成。
谁能建议我如何在 splunk 查询中检查日期时间格式以及状态。
【问题讨论】:
标签: amazon-web-services kubernetes logging splunk splunk-query
在你提到亚马逊网络服务的标题中。如果您的事件是实际的 AWS 日志数据,您可以安装 Splunk Add-on for Amazon Web Services: https://splunkbase.splunk.com/app/1876/
插件带有大量的字段提取。安装插件后,您只需查看您的事件以找出状态文本的正确字段名称,然后搜索status=ERROR。
或者,您可以自己创建字段提取。这个正则表达式应该这样做:
(?<date>\d\d\d\d-\w+-\d\d\s+\d\d:\d\d:\d\d\.\d\d\d)\s+(?<status>\w+)
你可以在这里测试:https://regex101.com/r/pVg1Pm/1
现在使用 Splunk 的rex 命令在搜索时进行字段提取:
要自动完成字段提取,您可以通过设置/字段/字段提取添加新的字段提取。
【讨论】: