0

我有一个日志语句,如 2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 -{"message":{"TransactionStatus":true,"TransactioName":"removeLockedUser-1498029828160"}} 。如何提取 TransactionName 和 TranscationStatus 并以表格形式打印 TransactionName 及其计数。

我尝试了以下查询,但没有成功。它总是给我0。

sourcetype=10.240.204.69 "事务状态" | rex field=_raw ".TransactionStatus (?.)" |stats count((status=true)) as success_count

4

1 回答 1

0

用这个解决了它:

| 制造结果| eval _raw="2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 -{\"message\":{\"TransactionStatus\":true,\"TransactionName\":\"removeLockedUser-1498029828160 \"}}" | 将 COMMENT 重命名为“上面的所有内容都会生成示例事件数据;下面的所有内容都是您的解决方案”| rex "{\"TransactionStatus\":(?[^,] ),\"TransactioName\":\"(?[^\"] )\"" | 图表计数超过 TransactionName BY TransactionStatus

于 2017-06-22T03:38:16.400 回答