合併多個日誌的Splunk

Question

由於某種原因，splunk合併了多個日誌。

由於統計學的原因，每次用戶登錄時都會記錄日誌。我預計在Splunk的，我會得到每一個日誌行，如下面的：

TIMESTAMP user of type=1 has logged in 
---------------------------- 
TIMESTAMP user of type=2 has logged in 
---------------------------- 
TIMESTAMP user of type=3 has logged in 

等在那裏-------------代表日誌之間的分隔符。

不過，我不是得到多個日誌被視爲一個日誌，如：

TIMESTAMP user of type=1 has logged in 
TIMESTAMP user of type=2 has logged in 
TIMESTAMP user of type=1 has logged in 
------------------------------- 
TIMESTAMP user of type=3 has logged in 
TIMESTAMP user of type=3 has logged in 
-------------------------- 
TIMESTAMP user of type=2 has logged in 
TIMESTAMP user of type=1 has logged in 
TIMESTAMP user of type=3 has logged in 
TIMESTAMP user of type=1 has logged in 
--------------------------------- 

的分組是隨機的，從1-6每組去。我需要能夠統計每天登錄多少次。所以回答以下任何一個問題就足夠了。

• 爲什麼splunk「合併」我的日誌，我該如何區分它們？
• 我怎樣才能計算基於行而不是日誌（並仍然保持每種類型的計數）
• 有沒有一種方法可以在一個日誌中提取具有相同鍵名的多個字段並統計它們全部？

Answer 1

1.我認爲線條的合併是基於常見的時間戳發生的。請讓我們知道合併事件的時間戳。

2.對於每種類型的時間段計數，您應該更好地使用字段命名類型並繪製基於該字段的時間圖。

3.是的，你可以。

Answer 2

您可以參考 「斷線」 在props.conf，你可以嘗試像LINE_BREAKER，SHOULD_LINEMERGE屬性，...請參見：http://docs.splunk.com/Documentation/Splunk/6.1.3/Admin/Propsconf

2.有兩種方法來做到這一點。 a。使用「桶」命令：... | bucket _time span = 5min | ... b。對「span」參數使用「時間圖」或「圖表」命令：... | timechart span = 5min

然後......數一數。

3. Splunk中的多個值意味着事件中的某個字段具有多個值。我不確定什麼「在一個日誌中提取具有相同密鑰名稱的多個字段」意思是，你能提供一個例子嗎？