我正在向 splunk 发送一些数据,如下所示:
"Start|timestamp:1552607877702|type:counter|metricName:cache|count:34488378|End"
然后使用正则表达式提取字段:
search "attrs.name"="service" | regex (Start)(.*)(End) | extract pairdelim="\"{|}" kvdelim=":"
提取后,我可以在“INTERESTING FIELDS”下看到字段(type、metricName、count)。如何在仪表板中使用这些字段?
谢谢
最佳答案
搜索 "attrs.name"="service"|正则表达式(开始)(。*)(结束) |提取 pairdelim="\"{|}"kvdelim=":"| 按 metricName 统计计数
或者
搜索 "attrs.name"="service"|正则表达式(开始)(。*)(结束) |提取 pairdelim="\"{|}"kvdelim=":"| 按类型统计计数
或者
搜索 "attrs.name"="service"|正则表达式(开始)(。*)(结束) |提取 pairdelim="\"{|}"kvdelim=":"| 表类型、metricName、计数
应该都给你一张表格,也可以用可视化表示。您可以将其中任何事件或原始事件保存为仪表板面板。
关于仪表板中的 Splunk 提取字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55173777/