我需要通过splunk查询记录器,以基于该语句内的值为某个值的特定语句。有人可以帮我解决以下问题吗?
我尝试在下面的索引中查找所有具有“在xx中完成批处理(其中xx是必须为>某些指定值的值)”]的所有情况。但是,即使在日志文件中有满足条件的出现,结果也为零。
index="My_App_ID" APP-NAME makeresults | eval _raw="Batch completed in 23" | rex field=_raw "Batch completed in (?<compltd_time>.\d+)" | where compltd_time > 10
Batch completed in 23 seconds for 100 UUIDS
我需要通过splunk查询记录器,以基于该语句内的值为某个值的特定语句。有人可以帮我解决以下问题吗?我在下面尝试过...