问题标签 [splunk-query]

1) 我想用 p(95) 响应时间来计算 HTTP URL 的出现次数，用于 url 调用： https ://example.net/v1/abc/xyz ，响应代码为 200 或 500 2) 响应时间是时间戳 b/w 第 6 行和第 3 行的差异。 3) URL 调用和状态代码都发生在同一个线程，即 Thread-30_Server_1 并且总是应该是下一个发生如果您同时看到事件 1 和事件2 发生在同一个线程中，但响应状态代码应始终是连续的。因此，splunk 搜索应返回状态为 200 的事件 1，而状态为 350 的事件 2

以下是日志的摘录： 事件 1：

活动二：

我无法找到 Splunk 查询来计算字符串在事件中出现的次数。

我的字符串是：

我试过了，但它不计算事件中字符串的出现次数：

我想要"\"IsFeedback\":true"跨越所有事件的发生。

我正在使用 Exchange 2010 数据。我有 MessageID、Sender、Recipients 和 _time。根据事件类型，可以拆分收件人（即，给定消息的所有收件人不包括在事件中，而是拆分为多个事件）。以下是数据示例：

我使用此查询通过 MessageID 和 Sender 将多个 Recipients 值组合成一个事件：

这导致：

_time 未填充，因为values如果 _time 包含在by语句中，则不会工作，因为特定 MessageID 的每个事件都发生在不同的时间。因此，我需要以某种方式dedup同时获取 MessageID（以获取最新的 _time）并填充 Recipients 值。

我试过这个：

但这也不起作用，它会导致 recip 没有被填充：

我想要的输出如下所示：

我应该如何做到这一点？

我正在为我们拥有的每个 api 收集性能指标。通过以下查询，我得到的结果为

方法 response_time
创建账单 2343.2323

如果用户单击表格单元格中的每个 api 文本以进一步向下钻取，它将使用“创建帐单”打开一个新搜索，显然它将给出零结果，因为我们没有任何包含该字符串的日志。

我希望 splunk 使用之前替换的原始文本进行搜索。

我试图从下面的日志中找到 x-sw-client-id 值，即自助服务自动化。键始终相同，但值会因客户端而异。您能否建议我使用正则表达式或查询来查找使用我的服务的客户数量？

如何使我的查询区分大小写。

说我想要我的搜索结果"Case Sensitive"而不是"CASE sensitive"或"CASE SENSITIVE"

这是我正在使用的，没有帮助。

我试过使用CASE(Case Sensitive)，但这并没有帮助我得到结果。

这是我的日志消息。我正在尝试捕获所有进入 /selfservice url 的 http 方法。基本上我想找到每个 api 的命中数，每个 GET、PUT、POST 等都有计数。

可能还有其他类似的网址（如下所示），但我只想捕获自助服务

这是我尝试过的东西

尝试了不同的可能性，但没有得到正确的数据。任何帮助表示赞赏。

我们需要更新 Splunk 中的 Expresso 和 Control-M 计划作业完成状态，这对于实时作业监控很有用。我在 SPlunk 应用程序中进行了搜索，但找不到与 Expresso & Control-M 相关的任何应用程序。无论如何将这些集成到 splunk 中？

我很天真，我必须优先完成这项任务，我想为部署在 PCF 上的多个 api 设置警报，例如

API 名称：错误 1、错误 2、3 ..

API 名称 2：错误 1、错误 2、3。

API-NAME3：错误 1、错误 2、3。

每个 api 的错误都是相同的。

如何编写 splunk 查询以针对上述情况发出警报。

我以为我会简单地使用 or 条件来创建查询

像 Error1 或 Error 2

但这会创建一个全局警报，我不希望这样。

我不能在查询中使用 API 名称，因为 api 名称记录在许多条件（信息、调试等）中，这在许多情况下将不必要地创建警报，

*API 只是调用后端服务器的 URL。

我想编写一个正则表达式来从 splunk 中的字符串末尾提取第 n 个字段。请让我知道如何进行。