0

我有一个 splunk 查询,它使用正则表达式在日志中查找最常见的错误。然后我将其显示为条形图。正则表达式返回 10 个错误值。

someSearchQuery
| rex "someTerm(?<error>)
| stats count by error
| sort - count 
| head 10

我想在钻取中使用查询返回的值,以便单击条形图将显示该值的结果

我用于设置令牌的向下钻取 xml 是这个

<drilldown> 
    <set token="show_panel">true</set>
    <set token="selected_value">$click.value$</set>
</drilldown>

然后我在钻取查询中使用这个标记

someSearchQuery
| rex "someTerm(?<error>)
| search error=$selected_value$
| timechart count by errorType span="1m"
| addcoltotals
| rename NULL as count

这些错误名称太技术性了,我想在主面板中将它们更改为通用名称并向下钻取。

例如,如果正则表达式返回错误“ID not found”,我想用“Data_error”替换它

我也希望我的头衔用通用名称更改

<title>$selected_value$</title>

但问题是当我使用 更改名称时eval,向下钻取查询没有得到实际的错误名称并且搜索失败,因为没有“Data_error”这样的错误。查询需要“未找到 ID”才能运行。

有什么办法可以实现吗?我可以更改我的 searchTerm 的名称,同时在下钻查询中使用旧的 searchTerm 吗?

4

1 回答 1

0

所以我终于想通了。为社区发布(我得到了其他开发人员的帮助):Steps-->

1.在细化中设置一个额外的令牌。使用 eval 而不是 set

<drilldown>
        <set token="show_panel">true</set>
        <set token="selected_value">$click.value$</set>
        <eval token="converted_value">case($click.value$="ID not found","Data_error",$click.value$="some other code","some other value")</eval>
   </drilldown>

2. 像以前一样在搜索中使用 eval 更改名称,然后在下钻 eval 中将其改回。

于 2021-09-10T20:59:41.763 回答