我已将这些日志摄取到 Splunk 中。
App worker stopped working. Extra details: Sat Aug 12 04:30:01 UTC 2023 ip-10-161-187-81.abc.non.c1.abc.com svc-app-default
我可以从日志消息中提取这些字段吗?
您可以使用正则表达式命名组提取多个字段。您可以调整正则表达式,但这可以让您了解如何将这三条信息提取到字段
msg
、date
和 code
:
| rex field=_raw "(?<msg>[^\.]+)\. Extra details: \w{3} (?<date>\w{3} \d{2} \d+:\d+:\d+ \w+ \d{4}) .* (?<code>.*)"
然后,您可以使用
stats
获取要在小部件中显示的不同值的计数,作为过滤的输入呈现,并使用 timechart
在仪表板小部件中绘制随时间变化的出现次数。