Logging 在服务器日志中查找过去一周日志中不存在的新错误_Logging_Splunk_Splunk Query_Splunk Formula_Splunk Calculation

Logging 在服务器日志中查找过去一周日志中不存在的新错误

logging

Logging 在服务器日志中查找过去一周日志中不存在的新错误,logging,splunk,splunk-query,splunk-formula,splunk-calculation,Logging,Splunk,Splunk Query,Splunk Formula,Splunk Calculation,如果服务器日志中有新错误，我希望在splunk中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引index=Serverlogs1 请帮忙要找到某段时间内没有看到的内容，需要搜索该时间段内的所有数据，因此要为缓慢的性能做好准备。如果您能具体说明“新”活动的标准，这将有所帮助。从这个搜索开始。如果可能，用特定字段替换\u raw index=serverlogs1 earliest=-1w | stats count by _raw | where count = 1 你能说

如果服务器日志中有新错误，我希望在splunk中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引index=Serverlogs1

请帮忙

要找到某段时间内没有看到的内容，需要搜索该时间段内的所有数据，因此要为缓慢的性能做好准备。如果您能具体说明“新”活动的标准，这将有所帮助。从这个搜索开始。如果可能，用特定字段替换

\u raw

index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1

你能说得更具体一点吗？你在寻找什么样的异常？在哪种数据中？如果服务器日志中有新错误，我希望在splunk中触发警报。新错误是过去一周内服务器日志中不存在的错误。我有日志索引index=Serverlogs1。请帮忙！你已经试过什么了？数据是什么样子的？如何确定“新”？上个星期有什么地方吗？只有一个端点？还有什么？我的目标是扫描splunk日志，查找过去一周（不包括今天）堆栈跟踪中的所有错误，并查找过去24小时内的任何异常/新错误。大多数情况下，“message”字段都有堆栈跟踪。但是，对于“message”字段中的相同错误，应该忽略profileid/jsession字段。在使用下面的查询时，对于相同的错误，如果jsessionid和profile不同，它也会显示为异常（这不是我所期望的）“index=serverlogs1 log_level=error | anomalydetection action=filter message”我的目标是扫描splunk日志，查找过去一周（不包括今天）堆栈跟踪中的所有错误并在过去24小时内发现任何异常/新错误。大多数情况下，“message”字段都有堆栈跟踪。但是，对于“message”字段中的相同错误，应该忽略profileid/jsession字段。在使用下面的查询时，对于相同的错误，如果jsessionid和profile不同，它也会显示为异常（这不是我所期望的）“index=serverlogs1 log_level=error | anomalydetection action=filter message”