Splunk使用的一些小窍门

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

转载自夜明的孤行灯

本文链接地址: https://www.huangyunkun.com/2017/01/27/splunk-tips/

Splunk可以用作日志分析工具,之前只是简单的把它当作日志搜集工具并没有其他用。

突然有一个很冷门的小应用,在线上运行了好几年,它使用的AWS SNS推送服务,推送服务是针对邮编的,现在想知道每个邮编每月的发送量。

首先看关键字,之前代码每发送一个信息会打一条日志Published message: xxxx to customer-alert-61000,最后那个是邮编。

首先提取自定义字段

rex field=_raw "customer-alert-(?<postcode>.*)"

作用就是匹配正则,并把匹配的内容作为新的field,名为postcode。

然后规定时间长度为

timechart span=1mon count

最后以postcode为分组依据

timechart span=1mon count by postcode

Splunk对于分组会默认有一个限制,超过限制的部分会命名为Others,显然我们不需要Others,而是需要所有分组,邮编有超过两千个,直接粗暴一些,禁用others,然后最大长度限制为3000

useother=f limit=3000

 

本文版权归作者所有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。

转载自夜明的孤行灯

本文链接地址: https://www.huangyunkun.com/2017/01/27/splunk-tips/

发表评论