我发现我可以创建一个Splunk查询来显示某个事件类型的结果在结果中显示的次数。如何为未使用的事件类型创建Splunk查询?
severity=error | stats count by eventtype
这将创建一个表像这样:
eventtype | count
------------------------
myEventType1 | 5
myEventType2 | 12
myEventType3 | 30
到目前为止好。不过,我想找到结果为零的事件类型。不幸的是,那些计数为0的人不会在上面的查询中出现,所以我不能仅仅通过这个来过滤。
如何为未使用的事件类型创建Splunk查询?
有很多不同的方式,取决于你的意思是“事件类型”。在某处,你必须得到你感兴趣的任何列表,并将它们转换成查询。
这里有一个版本,假设你有包含你想看到的事件类型列表的CSV ...
severity=error
| stats count as mycount by eventtype
| inputcsv append=t mylist.csv
| eval mycount=coalesce(mycount,0)
| stats sum(mycount) as mycount by eventtype
下面是另一个版本,假设你想在已经发生的所有事件类型的列表最近90天,以及昨天发生多少次的次数:
[email protected] [email protected] severity=error
| addinfo
| stats count as totalcount count(eval(_time>=info_max_time-86400)) as yesterdaycount by eventtype