我是Splunk的新手。我需要从我们的日志中获取每个错误消息的计数。我尝试编写以下搜索查询,但未按预期工作。
index =“ my_index”源=“ my_service。log” logger =“ com.xyz.splunk.logger。*”严重性=“ ERROR” | eval errorType = case(Message ==“ 必填字段field1为null“,” missing field1“,消息==” 强制字段field2为null“,” missing field2“,Message ==” 强制字段field1具有无效值“,”无效field1“)|统计信息按errorType计数
您可以提供一些示例事件吗?您为什么说它没有按预期工作?
我猜您将需要在Message字段上使用match来匹配部分字符串,但这只是基于缺乏示例事件的猜测。
index="my_index" source="my_service.log" logger="com.xyz.splunk.logger.*" severity="ERROR"
| eval errorType=case(
match(Message, "mandatory field field1 is null"), "missing field1",
match(Message, "mandatory field field2 is null"), "missing field2",
match(Message, "mandatory field field1 has invalid value"), "invalid field1"
)
| stats count by errorType