問題タブ [splunk-query]

次の形式で検索を絞り込むために使用する 2 つの特定の検索文字列があります。.... 2 つの値を (1 つのグラフ内の独自のカウントとして) グラフ化できるようにしたいのですが、フィールド抽出では、これら 2 つの検索用語のフィールド抽出を行う際に問題が多すぎることが判明しています。それらはイベントでも、ソースでも、ソースタイプでもありません。

だから私は、evalがどういうわけか一種のトークンを作成し、それをこの検索語に設定して、チャート/統計/などで使用できるかどうかを確認しようとしていました.

どんな助けでも大歓迎です！

を含む行があります

sn_GB]splunk で 行全体を印刷したいのですが、これは

以下の正規表現を使用しました。

GB]しかし、それはlikeと一緒に出力されGB] Welcome : { Name:{Customer1},Place:{Mumbai},}ます。という単語ではsn_GB、sn_は一定で、残りの 2 文字は 、 、 のように変化GBします。LBKBTB

正規表現の修正を手伝ってください。

ありがとう

特定のエラー コード (404 や 502 など) の急激な上昇 (スパイク) をキャッチする進行中のアラートを実際に使用できます。スクリプトに関しては、本当にあなたの助けを借りることができました :-)

私の理解では、検索クエリは通常のトラフィックを「認識」または「感知」し (どのくらいの長さか、おそらく 1 時間、2 時間)、1 ～ 2 時間前と比較してエラー コードが急増したときに警告する必要があります。エラー コード スパイクのしきい値は、90 秒以上発生している間、総トラフィックの 5% 以上である必要があると思います。

以下は、私が今日使用している Splunk クエリです。上で説明したように調整していただき、ありがとうございます。