我需要从 splunk 中识别所有独特的日志模式。我可以在 splunk UI 的模式选项卡上的模式上获取它,但希望以编程方式获取它。
我可以使用 splunk sdk 获得搜索结果,但无法找到独特的日志模式。
问问题
176 次
1 回答
0
当您单击模式时,它会执行一个集群命令。事实上,您可以通过查看您运行的作业的活动下拉列表来查看集群命令。
它在您刚刚运行的搜索中使用loadjob ,并添加以下内容:
| cluster t=0.9 labelonly=true labelfield=_patterns match=termset
| findkeywords labelfield=_patterns dedup=true
所以这只是一个常规搜索,然后使用集群。
于 2017-03-22T13:58:23.183 回答