如何解决Splunk查询:按_meta字段过滤
上下文
我想使用 Splunk 监控一堆应用服务器。每个环境上的服务器都运行相同的应用程序。寻找一种方法来标记这些信息,以便轻松地将仪表板中的 stage 服务器从 prod 服务器上解开,在阅读论坛时遇到了这个技巧。
生产计算机上的转发器中的 inputs.conf
[default]
_meta = env::prod
阶段计算机上的转发器的 inputs.conf
[default]
_meta = env::stage
有了这个技巧,我最终在解析的数据中出现一个env
字段。
index=* | stats count by env
| env | count |
|:------:|:-----:|
| stage |2415686|
| prod |55677 |
问题
我无法过滤env
index=* logLevel="ERROR" projectName != "null" env="prod" | stats count(_raw) by projectName
为什么会这样?
解决方法
好吧,在我的情况下,state
只是一个标记(默认情况下不会编入索引)。为了将它们编入索引,您需要在env
fields.conf
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。