小贝子编程

如何在splunk中聚类和创建时间图



我有一个LogMsg错误消息的字段,我是基于使用集群的相似性分组。

我试图实现的是一个显示,将显示一个时间序列与分组错误

index="my_index_here" LogLevel=ERROR
| cluster showcount=t t=0.2 field=Message | eval "Error Count" = cluster_count
| head 10 | timechart count("Error Count") By LogMsg span=60m

The Idea is this

  1. 获取所有错误消息LogLevel=ERROR
  2. 根据Message字段| cluster showcount=t t=0.2 field=Message | eval "Error Count" = cluster_count
    3. 进行分组
  3. 获得前10名| head 10
  4. 绘制时间图timechart count("Error Count") By LogMsg span=60m。时间图应该包含从集群生成的不同错误消息的数量随时间变化的图,如
    5. 11点无法验证,十大最常见错误

    调试SPL的方法是每次执行一个管道,并在添加下一个管道之前验证结果。

    我相信你会发现head命令破坏了时间表。有可能所有排名前10的结果都将在同一小时内出现,因此结果可能不太有用。

    出现"空白图"的常见原因是statstimechart命令,引用一个不存在或为空的字段。您应该在调试过程中发现哪个字段为空。

    哎呀,这是一个与您的查询类似的可在任何地方运行的查询,可生成一个图。

    index=_internal log_level=INFO 
| cluster showcount=t t=0.2 field=event_message 
| eval "Error Count" = cluster_count 
| head 10 
| timechart count("Error Count") By group span=60m

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium