如何解决使用splunk找出巨大的日志语句
我有一个现有应用程序,其中有多个应用程序流。
所有流都是JMS消息传递流-不同的系统在这里交换队列消息。
我想从日志中找到庞大的记录器语句-大约超过10行。
我尝试过的方法-我尝试使用模式标签,其中splunk告诉我们什么是重复模式。
我擅长使用重复模式-但我想找出巨大的记录器语句。
所以-是否有可能找出更长/更大的此类日志语句
先谢谢您
解决方法
Splunk具有一个名为“ linecount”的内置字段,该字段应该执行您想要的操作。
index=foo
| where linecount > 10
您还可以使用len
函数查找事件的大小。
index=foo
| eval size=len(_raw)
| where size > 5000
请注意,尽管可以通过TRUNCATE = <n>
在props.conf中更改该设置,但Splunk默认将大事件截断为10,000个字符。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。