如何從splunk日誌中提取數字字段並生成min，max，avg？

Question

我在應用程序日誌這些條目： API調用了2.340474秒

我怎樣才能提取的響應時間的價值和產生最小，最大和平均統計？

我試過但我沒有收到任何結果 API CALL call took |雷克斯「電話採取：（？。*）秒」|統計MIN（apitime）

我認爲字段的提取不適用於我的正則表達式。 什麼是提取我的響應時間和生成統計數據的正確方法？

Answer 1

您需要命名的雷克斯命令字段：

rex "call took: (?<apitime>.*) seconds" 

如果仍然不能正常工作，簡化您的表達，然後通過位根據需要添加複雜一點。你可以這樣開始：

rex "(?<apitime>\w+) seconds" 

Answer 2

如何

API call took | rex field=_raw "call took: (?<apitime>\d+\.\d+) seconds" | stats min(apitime) as min_apitime, max(apitime) as max_apitime, avg(apitime) as avg_apitime