我们有这样的格式的日志条目:LogLevel = info username = some1 eventID = update
因此,如果出现错误,LogLevel将为LogLevel = error LogLevel也可以进行调试
我需要做的是找到所有具有eventID = update但始终具有LogLevel = error并且以表格格式呈现它们的用户。计数
如果我只是搜索
eventID=update LogLevel=error | stats count by username
然后我将为LogLevel =错误的用户获取所有匹配的条目,但是这些用户中的一些可能还具有LogLevel = info(或debug)的条目如何在给定时间段内找到仅具有此事件ID的LogLevel = error的用户?
Splunk在第一个管道之前的表达式之间有一个隐含的AND
,因此除了结果中的错误之外,应该没有LogLevels。您可以使用此查询验证:
eventID=update LogLevel=error | stats count by LogLevel
应报告LogLevel = error的单个数字。