我有一个日志语句,例如 2017-06-21 12:53:48,426 信息 transaction.TransactionManager.Info:181 -{"消息":{"交易状态":true,"TransactioName":"removeLockedUser-1498029828160"}} .如何提取事务名称和转换状态并以表格形式打印事务名称及其计数。
我尝试了下面的查询,但没有取得任何成功。它总是给我0。
源类型=10.240.204.69 "事务状态" | rex 字段=_raw "。TransactionStatus (?.(" |stats count((status=true(( as success_count
用这个解决了它:
| 制作结果 |eval _raw="2017-06-21 12:53:48,426 INFO transaction.TransactionManager.Info:181 -{\"message\":{\"TransactionStatus\":true,\"TransactioName\":\"removeLockedUser-1498029828160\"}}" |将注释重命名为"上述所有内容都会生成示例事件数据;以下一切都是您的解决方案" |rex "{\"TransactionStatus\":(?[^,](,\">TransactioName\":\"(?[^\"])\"" |图表计数 超过交易名称 按 交易状态