以下のように、Splunk に表示されるステートメントをログに記録しました。
info Request method=POST, time=100, id=12345
info Response statuscode=200, time=300, id=12345
info Request と info Response で始まる行から時間パラメータを抽出し、基本的に時差を見つける Splunk クエリを作成しようとしています。クエリでこれを行う方法はありますか? 各ステートメントから個別に値を抽出することはできますが、2 つの値を一緒に抽出することはできません。
私は以下のようなものを望んでいますが、配管が機能しないと思います:
... | search log="info Request*" | rex field=log "time=(?<time1>[^\,]+)" | search log="info Response*" | rex field=log "time=(?<time2>[^\,]+)" | table time1, time2
どんな助けでも大歓迎です。