Splunk使用的一些小窍门

发表于:2017-12-26 10:03

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:htynkn    来源:夜明的孤行灯

分享:
  Splunk可以用作日志分析工具,之前只是简单的把它当作日志搜集工具并没有其他用。
  突然有一个很冷门的小应用,在线上运行了好几年,它使用的AWS SNS推送服务,推送服务是针对邮编的,现在想知道每个邮编每月的发送量。
  首先看关键字,之前代码每发送一个信息会打一条日志 Published message: xxxx to customer-alert-61000,最后那个是邮编。
  首先提取自定义字段
  rex field=_raw "customer-alert-(?<postcode>.*)"
  作用就是匹配正则,并把匹配的内容作为新的field,名为postcode。
  然后规定时间长度为
  timechart span=1mon count
  最后以postcode为分组依据
  timechart span=1mon count by postcode
  Splunk对于分组会默认有一个限制,超过限制的部分会命名为Others,显然我们不需要Others,而是需要所有分组,邮编有超过两千个,直接粗暴一些,禁用others,然后最大长度限制为3000
  useother=f limit=3000

上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号