Splunk使用的一些小窍门

27 1月
预计阅读时间: 1 分钟

Splunk可以用作日志分析工具,之前只是简单的把它当作日志搜集工具并没有其他用。

突然有一个很冷门的小应用,在线上运行了好几年,它使用的AWS SNS推送服务,推送服务是针对邮编的,现在想知道每个邮编每月的发送量。

首先看关键字,之前代码每发送一个信息会打一条日志 Published message: xxxx to customer-alert-61000,最后那个是邮编。

首先提取自定义字段

作用就是匹配正则,并把匹配的内容作为新的field,名为postcode。

然后规定时间长度为

最后以postcode为分组依据

Splunk对于分组会默认有一个限制,超过限制的部分会命名为Others,显然我们不需要Others,而是需要所有分组,邮编有超过两千个,直接粗暴一些,禁用others,然后最大长度限制为3000

 

发表评论

电子邮件地址不会被公开。