splunk 搜索查询中的日期时间格式搜索
[英]DateTime format search in the splunk search query
问题描述
我的 splunk 日志中有“YYYY-MM-DD HH:MM:SS.QQ 错误”。 现在,我想在我的 splunk 日志中搜索类似的日期模式以及“2021-Apr-08 23:08:23.498 ERROR”之类的状态,并在错误标签出现在日期旁边时创建警报。 这些日期是可变的,并在运行时生成。
任何人都可以建议我如何在 splunk 查询中检查日期时间格式以及状态。
1 个解决方案
解决方案1
2 已采纳 2021-04-09 06:29:37
在标题中,您提到了 Amazon Web 服务。 如果您的事件是实际的 AWS 日志数据,您可以Splunk Add-on for Amazon Web Services : https://splunkbase.splunk.com/app/1876/
该附加组件带有许多字段提取。 安装插件后,您需要做的就是查看您的事件以找出状态文本的正确字段名称,然后搜索status=ERROR 。
或者,您可以自己创建字段提取。 这个正则表达式应该这样做:
(?<date>\d\d\d\d-\w+-\d\d\s+\d\d:\d\d:\d\d\.\d\d\d)\s+(?<status>\w+)
你可以在这里测试它: https://regex101.com/r/pVg1Pm/1
现在使用 Splunk 的rex命令在搜索时进行字段提取:
要自动完成字段提取,您可以通过设置/字段/字段提取添加新的字段提取。
将Elasticsearch kibana查询字符串格式转换为URI搜索格式
[英]Convert Elasticsearch kibana query string format to URI Search format
CloudWatch Insights 查询:格式化 DateTime 字符串以进行分组
[英]CloudWatch Insights query: Format a DateTime string for grouping
AWS 弹性搜索:应该对给定查询的所有组合执行搜索
[英]AWS Elastic search : Search should be performed on all combination with given query
在 Elastic Search(Open Search AWS)中使用 id、嵌套数组和范围进行查询
[英]Query with id, nested array and range in Elastic Search (Open Search AWS)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
在 splunk 搜索中查找 Pod Count
Splunk中的索引聚类vs头部搜索聚类
将Elasticsearch kibana查询字符串格式转换为URI搜索格式
使用标准格式搜索网址
CloudWatch Insights 查询:格式化 DateTime 字符串以进行分组
AWS CloudSearch - 以JSON格式获取搜索结果
ECS Splunk 日志被 splunk-format raw 截断
如何从弹性搜索查询中获得准确的搜索结果
AWS 弹性搜索:应该对给定查询的所有组合执行搜索
在 Elastic Search(Open Search AWS)中使用 id、嵌套数组和范围进行查询
相关标签