我想搜索日志事件
"Closure request counts: startAssets: "
并且找到CCD_ 1大于50的情况。
我该怎么做?
类似于:
Closure request counts: startAssets: 51
可能会进行类似的搜索
"Closure request counts: startAssets: {num} AND num >=50"
也许吧?
在SPL中是什么样子的?
这很简单,但需要提取数字才能完成。我喜欢使用rex命令来完成,但可能还有其他方法。
index=foo "Closure request counts: startAssets: *"
| rex "startAssets: (?<startAssets>d+)"
| where startAssets > 50