我發現我可以創建一個Splunk查詢來顯示某個事件類型的結果在結果中顯示的次數。如何爲未使用的事件類型創建Splunk查詢?
severity=error | stats count by eventtype
這將創建一個表像這樣:
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
到目前爲止好。不過,我想找到結果爲零的事件類型。不幸的是,那些計數爲0的人不會在上面的查詢中出現,所以我不能僅僅通過這個來過濾。
如何爲未使用的事件類型創建Splunk查詢?
有很多不同的方式,取決於你的意思是「事件類型」。在某處,你必須得到你感興趣的任何列表,並將它們轉換成查詢。
這裏有一個版本,假設你有包含你想看到的事件類型列表的CSV ...
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
下面是另一個版本,假設你想在已經發生的所有事件類型的列表最近90天,以及昨天發生多少次的次數:
[email protected] [email protected] severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype