2

我有日志,其中包含我想要捕获的特定错误字符串。我想跟踪一段时间内的总错误,而不关心任何特定错误,因为错误消息包含一个id,这意味着每个错误都被视为不同。

_collector="Service" 
| parse regex "error: (?<error>.+?(?=,))"
| timeslice 15m
| sum(error) as total_errors by _timeslice
| count by _timeslice, total_errors

这样做的问题是它没有随着时间的推移正确地对错误进行分组,而是显示了一个图表,其中每行都是单独的错误。

有什么建议吗?

4

1 回答 1

0

所以这被证明是一个过于复杂的例子。

_collector="Service" "error:"
| timeslice 5m
| count by _timeslice

我们不需要正则表达式,因为我们不关心具体值。

于 2020-11-18T03:16:30.397 回答