gpt4 book ai didi

splunk - 统计计数 Splunk 查询

转载 作者:行者123 更新时间:2023-12-02 04:25:37 24 4
gpt4 key购买 nike

我想知道是否有人可以帮助我。

我发表了以下关于我正在尝试编写的 Splunk 查询的帖子:

https://answers.splunk.com/answers/724223/in-a-table-powered-by-a-stats-count-search-can-you.html

我得到了一些很大的帮助,但尽管在这方面工作了几天,现在专注于使用 eval if 语句,但我仍然遇到“成功”和“不成功”列显示空白结果的相同问题。所以我想我应该把网撒得更广一些,请问是否有人可以看看这个问题,并就我如何解决这个问题提供一些指导。

非常感谢和亲切的问候

克里斯

最佳答案

我尝试使用 splunkd-access log 探索您的用例,并提出了一个简单的 SPL 来帮助您。在这个查询中,我实际上加入了 2 个搜索的输出,这些搜索聚合了所需的结果(不关心搜索性能)。

试一试。如果您有权访问 _internal 索引,这将按原样工作。您应该能够轻松修改它以适合您的事件(例如:将 user 替换为 ClientID)。

index=_internal source="/opt/splunk/var/log/splunk/splunkd_access.log" 
| stats count as All sum(eval(if(status <= 303,1,0))) as Successful sum(eval(if(status > 303,1,0))) as Unsuccessful by user
| join user type=left
[ search index=_internal source="/opt/splunk/var/log/splunk/splunkd_access.log"
| chart count BY user status ]

我根据 splunk 社区答案更新了您的搜索(看起来应该像这样):

w2_wmf(RequestCompleted)`request.detail.Context="*test" 
| dedup eventId
| rename request.ClientID as ClientID detail.statusCode AS statusCode
| stats count as All sum(eval(if(statusCode <= 303,1,0))) as Successful sum(eval(if(statusCode > 303,1,0))) as Unsuccessful by ClientID
| join ClientID type=left
[ search w2_wmf(RequestCompleted)`request.detail.Context="*test"
| dedup eventId
| rename request.ClientID as ClientID detail.statusCode AS statusCode
| chart count BY ClientID statusCode ]

关于splunk - 统计计数 Splunk 查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54784603/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com