2

2 つの異なるログからの情報を 1 つのクエリに結合しようとしていますが、それができるかどうか、またはその方法がわかりません。基本的に私はこれをしたい:

LOG 1:
<client=foo userId=1234 version=10>
<client=foo userId=5432 version=8>
<client=bar userId=4567 version=4>

LOG 2:
fooid=1234 speed=500
fooid=5432 speed=300

私がやろうとしているのは、バージョン == 10 のすべてのユーザーの速度に関する統計を収集することです。

私が読んだことから、 userId == fooid のエイリアスを作成すると、次のように言うことで可能になる可能性があります。

fooid=* AND version=10

ただし、すべての userId が fooid であるとは限らないという問題がまだあります。したがって、ログ 1 に fooid フィールド エイリアスを作成できるようにしたいと考えていますが、それは client=foo の場合のみです。これは可能ですか?もしそうなら、どうすればできますか?

また、この検索を実行する別の方法があれば、大いに感謝します。

4

3 に答える 3

3

これらのログを同じインデックスに取り込むのですか、それとも別々のインデックスに入れるのですか?index=FOOまたはindex=FOO2|のようなことができるはずです。個別のインデックスを使用する場合は、fooid=*およびversion=10を検索してください。

開発者サイト(http://dev.splunk.com)に検索に関するチートシートがあります-http ://dev.splunk.com/web_assets/developers/pdf/splunk_reference.pdf

また、検索言語リファレンスガイドも役立ちます:http: //docs.splunk.com/Documentation/Splunk/latest/SearchReference/WhatsInThisManual

于 2012-04-04T22:58:48.600 に答える