问题描述
我能够在如下所示的splunk仪表板中获取多个事件(api的日志)
事件1:
{ "corrId":"12345","traceId":"srh-1","apiName":"api1" }
事件2:
{ "corrId":"69863","traceId":"srh-2","apiName":"api2" }
事件3:
{ "corrId":"12345","traceId":"srh-3","apiName":"api3" }
我想通过提供apiName从一个事件(api日志)动态检索corrId(例如:-“ corrId”:“ 12345”),并基于检索到的corrId值构建splunk搜索查询表示它将提取所有包含相同corrId("corrId":"12345")的事件日志。
输出
在上述情况下,预期结果将如下所示
事件1:
{ "corrId":"12345","apiName":"api1" }
事件3:
{ "corrId":"12345","apiName":"api3" }
我是splunk的新手,请在这里为我提供帮助,如何通过提供"corrId":"12345"之类的其他字段来动态获取apiName,并以此为基础构建Splunk搜索查询。
我已经尝试过以下方法,但是没有运气。
index = "test_srh source=policy.log [ search index = "test_srh source=policy.log | rex field=_raw "apiName":|s+"(?[^"]+)" | search name="api1" | table corrId]
此查询仅提供事件1日志,但我们需要包含相同corrId("corrId":"12345")的所有其他事件。在这里感谢快速帮助。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)