Splunk的 - 由GUID

splunk

2017-08-07 50 views 0 likes

Splunk: 

{ [-] 
    guid: ABC 
    level: warn 
    message: Analytics Audit: analyticsLoaded 
    source:  client 
    timestamp: 2017-08-07T16:38:38+00:00 } 


{ [-] 
    guid: BAC 
    level: warn 
    message: Analytics Audit: doneWithAnalytics 
    source:  client 
    timestamp: 2017-08-07T16:38:38+00:00 }

這些消息顯示爲每個GUID兩個不同的消息之間的持續時間。我想獲得第一mesage之間的持續時間「分析審計：analyticsLoaded」顯示出來，並在第二消息「分析審計：doneWithAnalytics」的GUID。在兩條消息之後，兩條消息的平均持續時間顯示爲guid。Splunk的 - 由GUID

基本上做，得到每GUID的持續時間。獲得平均持續時間。

我該怎麼做splunk？

來源

2017-08-07 Jasmine

回答

試試這個

index=blah | transaction guid startswith="analyticsLoaded" endswith="doneWithAnalytics" | timechart avg(duration)

來源

2017-08-08 23:16:22 skoelpin

相關問題

11. 的Splunk：「淨停止Splunk的」只適用*有時*
12. 使用Splunk Universal Forwarders或Splunk REST API的優勢？
13. 使用另一個splunk查詢的結果過濾splunk結果
14. 開放FW端口的Splunk
15. 查詢到遍歷的Splunk
16. 的Splunk和Python命令
17. splunk「ifnull」函數的文檔？
18. 的Splunk：在運行時
19. Splunk的搜索問題
20. Spring與Splunk集成
21. Splunk無法查找
22. Splunk與GMSServices衝突
23. Splunk和Winston for Nodejs
24. Splunk日期比較
25. Splunk索引基準
26. Splunk石墨集成
27. Splunk日誌數據優化
28. splunk logback/log4j appender似乎沒有記錄splunk
29. Splunk 6：「無法在此Splunk實例上進行預覽」
30. Cypher在Neo4j IN ['GUID'，'GUID']