Splunk:获取字符串所有出现次数的计数?
我的日志文件在同一个实例中记录了一组消息,因此只需搜索消息id,然后进行计数是不起作用的。当我想对每个事件计数50次时,我只会对每个事件计数1次。我想首先将搜索范围缩小到显示消息已排队发送的事件,然后统计字符串mid的所有实例 有什么想法吗?我对splunk很不好。如何使mid的所有实例都成为可数字段Splunk:获取字符串所有出现次数的计数?,splunk,splunk-query,Splunk,Splunk Query,我的日志文件在同一个实例中记录了一组消息,因此只需搜索消息id,然后进行计数是不起作用的。当我想对每个事件计数50次时,我只会对每个事件计数1次。我想首先将搜索范围缩小到显示消息已排队发送的事件,然后统计字符串mid的所有实例 有什么想法吗?我对splunk很不好。如何使mid的所有实例都成为可数字段 index=* service=myservice "enqueued" "mid" | stats count mid 您当前的搜索不起作用,因为您可能没有名为“mid”的字段。 要在事件中搜
index=* service=myservice "enqueued" "mid" | stats count mid
您当前的搜索不起作用,因为您可能没有名为“mid”的字段。 要在事件中搜索字符串,可以使用rex。试试这个
index=* service=myservice "enqueued" "mid" | rex max_match=0 "(?<mids>mid)" | eval midCount=mvcount(mids) | table midCount