如何查找仅针对特定事件的错误的用户?

问题描述 投票:0回答:1

我们有这样的格式的日志条目:LogLevel = info username = some1 eventID = update

因此,如果出现错误,LogLevel将为LogLevel = error LogLevel也可以进行调试

我需要做的是找到所有具有eventID = update但始终具有LogLevel = error并且以表格格式呈现它们的用户。计数

如果我只是搜索

eventID=update LogLevel=error | stats count by username

然后我将为LogLevel =错误的用户获取所有匹配的条目,但是这些用户中的一些可能还具有LogLevel = info(或debug)的条目如何在给定时间段内找到仅具有此事件ID的LogLevel = error的用户?

splunk
1个回答
0
投票

Splunk在第一个管道之前的表达式之间有一个隐含的AND,因此除了结果中的错误之外,应该没有LogLevels。您可以使用此查询验证:

eventID=update LogLevel=error | stats count by LogLevel

应报告LogLevel = error的单个数字。

© www.soinside.com 2019 - 2024. All rights reserved.