問題タブ [splunk-calculation]

Splunk ログに次の形式のメッセージがあります。

LogService 製品 ID=1 価格=10.00 クライアント数=4 利益=5.00

前日のすべてのレコードを検索して計算するクエリを作成する必要があります。

sum(価格 * クライアント数)/sum(利益),

結果が [0.2, 0.8] の範囲内にない場合はアラートをトリガーします。合計は、ログに記録されたすべてのメッセージの値の合計です。

私はそれを行ういくつかの方法を試しましたが、うまくいきませんでした。お知らせ下さい。

Splunk を介してアプリケーション ログを構成しましたが、次のことを行いたいと考えています。

1. 文字列が今日の日付の場合にイベントを取得する
2. 文字列に明日の日付がある場合にイベントを取得します。

#1 について以下のようにクエリを記述しようとしましたが、何も返されないようです

私の検索文字列は REGAVAIL で、すべてのイベントは以下の形式です -

REGAVAIL|00958645030|8871|1|61745|01262017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F レガベイル|00958647200|8871 |1|61745|01282017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F レガベイル|00958649200|8871|1|61745| 01292017|0|N|N|Y|N|Y|N|N|O|O|O|O|O|O|O|1013|F

最初に日付を抽出したい - 01262017 そして、今日の日付と比較します。一致が見つかった場合、そのイベントを考慮する必要があります。

どんな助けでも大歓迎です！

Exchange 2010 データを扱っています。MessageID、Sender、Recipients、および _time があります。イベントの種類によっては、受信者を分割できます (つまり、特定のメッセージのすべての受信者はイベントに含まれず、複数のイベントに分割されます)。データの例を次に示します。

このクエリを使用して、MessageID と Sender によって、複数の受信者の値を 1 つのイベントに結合します。

これにより、次の結果が得られます。

特定の MessageID の各イベントが異なる時間に発生するためvalues、ステートメントに _time が含まれていると機能しないため、 _time は取り込まれません。byしたがって、どういうわけかdedupMessageID (最新の _time を取得するため) と受信者の値を同時に詰め込む必要があります。

私はこれを試みました：

しかし、これも機能せず、recip が入力されません。

私の望ましい出力は次のようになります。

どうすればそれを達成できますか？