我发现我可以创建一个 Splunk 查询来显示某种事件类型的结果出现在结果中的次数。
severity=error | stats count by eventtype
这将创建一个像这样的表:
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
到目前为止,一切都很好。但是,我想找到结果为零的事件类型。不幸的是,计数为 0 的那些不会出现在上面的查询中,所以我不能只过滤。
如何为未使用的事件类型创建 Splunk 查询?
有很多不同的方法,这取决于你所说的“事件类型”。在某个地方,您必须获取您感兴趣的任何内容的列表,并将它们滚动到查询中。
这是一个版本,假设您有一个包含您想要查看的事件类型列表的 csv...
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
这是另一个版本,假设您想要一个过去 90 天内发生的所有事件类型的列表,以及昨天发生的事件类型的计数:
earliest=-90d@d latest=@d severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype