如何解决查找过去一周内日志中不存在的服务器日志中的新错误
如果服务器日志中存在新错误,我希望触发splunk警报。新错误是过去一周内服务器日志中未出现的错误。我有日志索引index = Serverlogs1。
请帮助!
解决方法
要查找一段时间内未见的内容,需要搜索该时间段内的所有数据,因此请做好降低性能的准备。如果您可以具体说明“新”事件的条件,这将有所帮助。从此搜索开始。如果可能,将_raw
替换为特定字段。
index=serverlogs1 earliest=-1w
| stats count by _raw
| where count = 1
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。